病毒名称："维迪"（Worm_Witty.A）
　　其它名称： W32.Witty.Worm（Symantec）
　　　　　　　　W32/Witty.worm（McAfee）
　　　　　　　　WORM_WITTY.A（Trend）
　　病毒类型：蠕虫
　　感染系统：Windows 95\98\2000\ NT\Me\ XP\Server 2003
　　病毒长度：660字节 ，可能变化

　　病毒特征：

　　病毒利用2004年3月19日EEYE公司公布ISS（Internet Security Systems）公司产品中的漏洞信息，ISS公司有问题的产品包括：

　　RealSecure Network 7.0, XPU 22.11 及以前版本；
　　RealSecure Server Sensor 7.0 XPU 22.11及以前版本；
　　RealSecure Server Sensor 6.5 for Windows SR 3.10及以前版本；
　　Proventia A Series XPU 22.11及以前版本；
　　Proventia G Series XPU 22.11及以前版本；
　　Proventia M Series XPU 1.9 及以前版本；
　　RealSecure Desktop 7.0 ebl 及以前版本；
　　RealSecure Desktop 3.6 ecf 及以前版本；
　　RealSecure Guard 3.6 ecf 及以前版本；
　　RealSecure Sentry 3.6 ecf 及以前版本；
　　BlackICE Agent for Server 3.6 ecf 及以前版本；
　　BlackICE PC Protection 3.6 ccf 及以前版本；
　　BlackICE Server Protection 3.6 ccf 及以前版本；

　　病毒具有以下特征：

　　1、通过UDP 4000端口向随机IP毒的随机端口发送自身，并且伪装成ICQ数据包；
　　2、利用ISS公司产品在扫描ICQ数据包时的漏洞，通过缓冲溢出，获得系统权限；
　　3、病毒驻留内存，并且不会在机器上创建文件，但会向硬盘中写入随机数据；

　　针对该病毒的应对措施：

　　1、使用相关产品的用户，没有修补漏洞的情况下应立即断开各种网络连接，然后进行漏洞的修
　　　 补和产品的升级；
　　2、在边界封堵UDP4000端口；
　　3、由于病毒并不在机器上创建文件，所以如果遭到攻击，断开网络重新启动系统。然后使用数
　　　 据恢复工具进行数据恢复。

---------------------------------------------------------------------------------------

　　国家计算机病毒应急处理中心通过对互联网的监测，发现“网络天空”出现又一变种。该变种通过邮件和共享文件夹进行传播，病毒驻留内存，修改注册表，在系统目录下创建文件，使用upx压缩。其在本地搜索邮箱地址时，排除了安全厂商及相关机构的邮箱地址，避免过早的被这些企业、机构得到样本。发送的附件格式为“附件名.txt(或 .doc)<很多连续的空格〉.exe（或.pif .scr .zip）”，这样一来用户很容易误以为附件是文档文件。

　　病毒名称：Worm_Netsky.P（“网络天空”病毒变种）
　　感染系统：Windows 95\98\2000\ NT\Me\ XP\Server 2003
　　病毒长度：29,568字节

　　病毒特征：

　　1、生成病毒文件
　　在%Windows％目录下生成FVPROTECT.EXE，USERCONFIG9X.DLL。
　　（其中，%Windows% 是Windows的默认文件夹，通常是 C:\Windows 或 C:\WINNT）

　　2、修改注册表项
　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建
　　Norton Antivirus AV = "%Windows%\FVProtect.exe"

　　3、病毒的传播
　　病毒通过电子邮传播，病毒在被感染用户的系统内搜索多种扩展名的文件，找到电子邮件地址，
　　并使用的自带的SMTP向这些地址发送带毒的电子邮件。病毒邮件的发信人具有欺骗性，主题、内
　　容和附件都是不固定的。病毒还可以通过网络共享进行传播。

　　有关该病毒的详细信息请参见国家计算机病毒应急处理中心网站的相关介绍
　　http//www.antivirus-china.org.cn/content/Worm_Netsky.P.htm

　　手工清除该病毒的相关操作：

　　1、终止病毒进程
　　在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下
　　CTRL+SHIFT+ESC，选择"任务管理器--〉进程"，选中正在运行的进程"FVPROTECT.EXE"，并终止
　　其运行。

　　2、注册表的恢复
　　点击"开始--〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的
　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧
　　的Norton Antivirus AV = "%Windows%\FVProtect.exe"

　　3、删除病毒释放的文件
　　点击"开始--〉查找--〉文件和文件夹"，查找文件"FVPROTECT.EXE，USERCONFIG9X.DLL"，并将
　　找到的文件删除。

　　4、运行杀毒软件，对系统进行全面的病毒查杀

　　专家提醒：

　　1、 使用相关产品的用户，没有修补漏洞的情况下应立即断开各种网络连接，然后进行漏洞的修
　　　　补和产品的升级。
　　2、 在边界封堵UDP4000端口。
　　3、 由于病毒并不在机器上创建文件，所以如果遭到攻击，断开网络重新启动系统。然后使用数
　　　　据恢复工具进行数据恢复。


　　国家计算机病毒应急处理中心