网络时代到了现在，病毒速度越来越快。SirCam蠕虫病毒灾难过去不久，Christ/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>圣诞节之际又出现了一种名为“笑哈哈”的蠕虫病毒，该病毒传播速度极快。金山毒霸反病毒应急处理中心接到该病毒的第一份实例至今仅仅过了几个小时，已经接到一百多份感染报告，有理由怀疑，此次这个蠕虫有可能在圣诞节之际获得象Sircam病毒一样的一次爆发。金山公司反病毒应急处理中心提醒广大用户：尽快升级您手上的金山毒霸检查自己的机器。并升级自己系统的IE，打上微软的安全补丁，不要运行来历不明的邮件附件。

　　 病毒简介：

　　 病毒名称：Worm.Shoho.110592

　　长度：110592字节

　　病毒类型：邮件蠕虫病毒

　　别名：笑哈哈、W32.Shoho@MM , W32/Welyah.A@mm

　　 危险级别：5级

　　 破坏性：删除文件

　　 详细介绍：

　　 “笑哈哈”蠕虫利用IE浏览器的一个弱点，向地址簿中的邮箱反复发送自身，造成邮箱堵塞。另外，它还能删除一些Windows目录下的文件，造成启动困难。

　　包含“笑哈哈”蠕虫的电子邮件标题是"Welcome to Yahoo! Mail." 信件内容是：

　　This messages a character set that is not supported by the Internet

　　Service. To view the original message content, open the attached

　　message.

　　 If the text doesn’t display correctly, save the attachment to disk,

　　 and then open it using a viewer that can display the original character set.

　　（大意是：互联网不支持本邮件的字符集，请打开附件查阅邮件内容，如果显示的字符不正确，将附件存到硬盘上，然后使用相应的软件查阅。）

　　其附件程序乍一看来好似README.TXT文件，其实它的真正扩展名是.pif（一种32位的PE文件格式）。该蠕虫病毒利用的是ms01-020 Iframe 漏洞，一旦预览或打开邮件，其附件程序README.TXT________.pif就会自动运行。该蠕虫是用Visual Basic 6编写的，文件大小为110592字节。

　　如果用户打开附件，它会将自身拷贝至Windows及 "system"目录下，更名为WINL0G0N.EXE（注意： 0是零，并非字母O)，同时可能在本地系统进行添加或删除文件。并修改注册表，添加到：

　　HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun

　　 WINL0G0N.EXE="c:windowsWINL0G0N.EXE"

　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

　　 WINL0G0N.EXE="c:windowsWINL0G0N.EXE"

　　使得染毒机器每次启动Windows操作系统时，该病毒都将运行。感染病毒的计算机的Windows目录下还将增添email.txt、emailinfo.txt、drwatson、drwatsonframe.htm等文件。 其中添加的email.txt 、emailinfo.txt. EMAIL.TXT文件当中包含有准备发往SMTP服务器的邮件，而EMAIL.TXT 是一个Mime文件，它包含编码为WINL0G0N.EXE的Base64及iframe 漏洞。此蠕虫有它自己的SMTP引擎，能够建立SMTP连接，通过搜索注册表获得本地系统上使用的SMTP服务器地址或者使用该蠕虫体内含的一份SMTP服务器地址：210.177.111.18 。它还会查找硬盘中所有包含邮件地址的文件，如：

　　 "*.eml","*.wab","*.dbx","*.mbx","*.xls","*.xlt","*.mdb"

　　 ，一旦找到便会保存在emailinfo.txt文件当中。然后向保存在该文件中的所有地址发送主题为“Welcome to Yahoo! Mail”的邮件。

　　当系统重新启动时，WINL0G0N.EXE文件自动执行，并可能导致常规性保护错误，而同时由于一些文件被删，系统可能无法正确启动Windows，这种情况在Win9x上会出现，而在NT40系统上还未遇到。但在任何系统上，例行的收发邮件可能会不正常。

　　如何判断您的机器是否中毒呢？

　　查看一下您的windows 、system目录下是否有WINL0G0N.EXE (0表示零，大小为110592字节）及以下文件： email.txt、emailinfo.txt、frame.htm。若有，说明中毒了。

　　 金山毒霸已经紧急升级，请您尽快升级您所使用的金山毒霸，将该病毒杜绝于门外。

　　 以下为病毒可能修改的文件列表：

　　可能添加的文件（Win9x系统）如下：

　　email.txt 、emailinfo.txt 、DRWATSON 、％WINDIR%DRWATSONFRAME.HTM 、

　　email.txt 、%WINSYSDIR%WINL0G0N.EXE 、％WINDIR%WINL0G0N.EXE 、

　　 　可能删除的文件（Win9x系统）如下：

　　WIN.COM 、WIN.INI 、1STBOOT.BMP 、WINSOCK.DLL 、ASD.EXE 、CLEANMGR.EXE 、

　　CLSPACK.EXE 、CONTROL.EXE 、CVTAPLOG.EXE 、DEFRAG.EXE 、DOSREP.EXE 、

　　DRWATSON.EXE 、DRWATSON 、DRWATSONFRAME.HTM 、EMM386.EXE 、HIMEM.SYS 、

　　HWINFO.EXE 、JAUTOEXP.DAT 、Kacheln.bmp 、Kreise.bmp 、LICENSE.TXT 、LOGOS.SYS 、LOGOW.SYS 、MORICONS.DLL 、NDDEAPI.DLL 、NDDENB.DLL 、NETDET.INI 、

　　RAMDRIVE.SYS 、RUNHELP.CAB 、SCRIPT.DOC 、Setup.bmp 、SMARTDRV.EXE 、

　　Streifen.bmp 、SUBACK.BIN 、SUPPORT.TXT 、TELEPHON.INI 、W98SETUP.BIN 、

　　Wellen.bmp 。