病毒名：worm.donghe.49152

　　病毒特征：

　　病毒邮件附件名为hello.exe，病毒邮件标题为中文，有可能是 “你的朋友给你寄来的贺卡”；“祝你生日快乐”；“同学聚会”；“你中奖了”；“节日快乐”；“恭喜”；“你好！”；“我喜欢你”；“我要逃离大学”等之一，病毒体内有中文信息标明作者的名字、学校、邮箱等信息。并含有作者需要工作的信息。但该病毒跟之前传播甚广的求职信病毒没有什么联系。并非作者从旧求职信病毒修改而来的病毒。该病毒象最近的一些蠕虫病毒一样，也是利用了IFRAME的漏洞使之能在预览时候（IE有漏洞的版本）运行。病毒运行是会将自己复制到windows的system目录，命名为Exporler.exe，并修改exe文件的关联，以使自己下次会再次激活。病毒自动获取用户地址薄中的信息乱发邮件。病毒体内还附带了一个VBS病毒，病毒发送邮件有两种形式，一种是将病毒自身作为附件发送，一种是将该VBS病毒作为附件（附件名为hello.vbs）发送。VBS部分的病毒会修改注册表的启动项以便自己下次能运行，同时修改了IE的默认起始页面。

　　病毒的破坏性：

　　1、阻塞邮件服务器

　　2、删除文件：删除如下扩展名的文件exe、dll、dat、mp3、doc。由VBS病毒来完成的。

　　当收到的邮件的附件为Hello.exe，病毒会利用IE的已知漏洞自动执行。如果没打补丁的话，那么在预览带有病毒的邮件时，病毒会自动运行并发生感染。请用户到以下地址下载并安装此漏洞的相应补丁程序： http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

　　病毒启动后会将自己拷贝到system目录下， 命名为Exporler..exe， 并修改注册表与EXE文件的关联。

　　HKEY_LOCAL_MACHINESoftwareCLASSESexefileshellopencommand

　　C:WIN98SYSTEMExporler.exe %1 %*

　　HKEY_CLASSES_ROOTexefileshellopencommand

　　C:WIN98SYSTEMExporler.exe %1 %*

　　这样，在执行任何EXE文件时，都会激活该病毒。此时，病毒会向上述的邮件用户发送病毒邮件。

　　当用户收到的邮件附件为Hello.vbs时，该病毒利用IE的漏洞自动执行。在windows的目录下生成文件Win32Dll.vbs，在windows的系统目录下生成文件MSKernel.vbs。并且病毒要删除所有逻辑磁盘中的以下类型文件：.exe，.dll，. mp3，.dat，.doc，如果这些文件在根目录下，则不删除。

　　金山毒霸提醒广大用户，鉴于该病毒发作后造成数据丢失、系统瘫痪，造成严重破坏，请留意该病毒，尤其是163.com，163.net，263.net，sina.com，china.com，citiz.net的邮件用户，发现以上特征的邮件立即删除，千万不要打开。如遇问题，请及时与我们联系。