国家计算机病毒应急处理中心通过对互联网的监测，于2003年元月13日发现一种新型的蠕虫病毒，经分析证实该蠕虫病毒是国外正在流行的Win32.sobig （老板公司）病毒。由于该病毒传播力较强，目前在国内正在迅速传播，国家计算机病毒应急处理中心提醒广大计算机用户做好预防工作。

　　该病毒为电子邮件蠕虫病毒，主要通过电子邮件和局域网进行传播。

　　病毒从扩展名为WAB、DBX、HTM、HTML、EML、TXT的文件中搜索邮件地址，并向这些地址发送染毒邮件。病毒邮件格式如下。

　　发信人：big@boss.com

　　主题（下列四个之一）：

　　Re:Movies （回复：电影）

　　Re:Sample （回复：样本）

　　Re:Document （回复：文档）

　　Re:Here is that sample （回复：这里是一个样本）

　　附件（下列四个之一，其长度为65536字节）：

　　Movie_0074.mpeg. pif

　　Document003. pif

　　Untitled1. pif

　　Sample. Pif

　　病毒运行后，在Windows的系统目录下生成病毒文件winmgm32.exe，并对注册表进行修改，以便在此之后，病毒能够随系统启动而自动运行：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun添加键值WindowsMGM

　　HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun添加键值WindowsMGM

　　病毒还在Windows目录下生成文件SNTMS.DAT。

　　当蠕虫通过局域网进行传播时，它搜索所有的局域网的共享目录，并将自身拷贝到以下的共享目录，使得当共享的机器重新启动时自动感染。

　　WindowsAll UsersStart MenuProgramsStartUp

　　Documents and SettingsAll UsersStart MenuProgramsStartup%WINDOWS%ALL

　　 病毒还从一个指定网站上下载一个文件并运行，该文件被存放在Windows目录下，其文件名为dwn.dat。

　　清除该病毒的相关操作：

　　1、终止病毒进程

　　在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC，选择“任务管理器——〉进程”，选中正在运行的进程“WINMGM32”，并终止其运行。

　　2、注册表的恢复

　　点击“开始——〉运行”，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的“WindowsMGM”。再依次双击左侧的

　　HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run ，找到并删除面板右侧的“WindowsMGM”

　　3、删除病毒文件

　　点击“开始——〉查找——〉文件和文件夹”，查找“DWN.DAT”、“SNTMLS.DAT”，并将找到的文件删除。

　　由于该病毒自动搜索邮件地址簿和有关文件中的邮件地址，然后向这些地址发送病毒邮件，因而病毒的传播范围更加广泛且不确定，会对我国的计算机网络造成拥塞。国家计算机病毒应急处理中心提醒广大计算机用户，及时升级杀毒软件，然后再处理电子邮件，不要打开带有附件的可疑电子邮件，防止该病毒发作、破坏。目前，北京江民公司和瑞星公司已经发现、上报该病毒有关情况，并升级了各自的防病毒产品。计算机用户发现该病毒后请向国家计算机病毒应急处理中心报告，以便做好各项病毒防治工作。