国家计算机病毒应急处理中心经过监测发现，我国近期又出现了“爱之门”和“贝革热”病毒的新变种，提醒广大计算机用户注意防范。

　　“爱之门”病毒的新变种运行后常驻内存，并在windows文件夹、系统文件夹和C盘根目录下生成多个自身拷贝。同时对注册表进行多处改动，修改.txt(文本文件)的关联，使得用户在运行.txt的时候，实际上是在运行病毒。病毒可通过电子邮件进行传播，有可能以回复正常邮件的形式到达，病毒还有可能将发信人的地址伪装成hotmail、MSN、YAHOO、AOL等大公司的邮件地址。另外病毒可通过网络共享进行传播。

　　“贝革热”病毒在沉寂数日后，也出现了新的变种，提醒用户对电子邮件的处理一定要谨慎，不确定的附件应先对其进行检测，确定无毒后方可运行，同时要及时的升级杀毒软件，并启动“实时监控”和“邮件监控”功能。

　　病毒名称：“爱之门”病毒变种(Worm_Lovgate.AD) 病毒种类：蠕虫

　　感染系统：Windows95/98/Me/NT/2000/XP 病毒特性：

　　1、生成病毒文件

　　病毒会将大量可执行文件替换成病毒副本文件，并将原文件变为隐含属性且后缀名被改变。同时病毒会在被感染系统中生成多个自身拷贝和病毒文件。在%Windows%文件夹下生成：SVCHOST.EXE和SYSTRA.EXE。在ystem%文件夹下生成：HXDEF.EXE、IEXPLORE.EXE、KERNEL66.DLL、RAVMOND.EXE、TKBELLEXE.EXE和UPDATE_OB.EXE。在C盘根目录下生成：AUTORUN.INF和COMMAND.EXE。

　　2、修改注册表

　　病毒在注册表中添加以下项目，使得自身能够作为服务运行：在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices下添加SystemTra=C:WindowsSysTra.EXECOM++System = svchost.exe

　　病毒在注册表中添加以下项目，使得自身能够随系统启动而自动运行，在HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindows下添加run=RAVMOND.exe WinHelp = C:WindowsSystem32TkBellExe.exeHardwareProfile = C:WindowsSystem32hxdef.exe VFW Encoder/DecoderSettings=RUNDLL32.EXE MSSIGN30.DLL ondll_regMicrosoftNetMeetingAssociates, Inc. = NetMeeting.exeProgram InWindows =C:WindowsSystem32IEXPLORE.EXE Shell Extension=C:WindowsSystem32spollsv.exe Protected Storage=RUNDLL32.EXEMSSIGN30.DLL ondll_reg

　　病毒修改以下注册表项目，这样一来，用户在运行.txt文本文件的时候，实际上就是在运行病毒拷贝：HKEY_CLASSES_ROOTxtfileshellopenmmanddefault=Update_OB.exe%1(原始数值为%SystemRootystem32NOTEPAD.EXE%1)HKEY_LOCAL_MACHINESoftwareClassesxtfileshellopenmmand default =Update_OB.exe%1(原始数值为%SystemRootystem32NOTEPAD.EXE %1)

　　3、修改文件

　　病毒修改文件AUTORUN.INF[AUTORUN]Open=c:COMMAND.EXE/StartExplorer

　　4、通过电子邮件进行传播

　　(1)病毒搜索系统邮箱，回复找到的电子邮件，并将病毒作为附件进行传播。

　　标题：Re: <邮件原始主题>

　　附件：存在多种形式，扩展名为.exe、.pif、.scrsong.MP3.pif

　　(2)病毒从下列扩展名的文件中搜索邮件地址：ADB、ASP、DBX、HTM、PHP、PL、SHT、TBB、TXT、WAB，并向这些地址发送带毒的电子邮件。

　　病毒邮件特征如下：

　　发件人：

　　%病毒体内选取的特定字符%.aol.com

　　%病毒体内选取的特定字符tmail.com

　　%病毒体内选取的特定字符%.msn.com

　　%病毒体内选取的特定字符%.yahoo.com

　　标题：<为下列之一> hi hello Mail Delivery System MailTransactionFailed

　　内容：<可变>

　　附件：

　　文件名为body、data、doc、document、file、message、readme、test、text或zge，扩展名为BAT、EXE、PIF、SCR或ZIP。病毒会避免向含有特定字符串的邮件地址发送带毒的电子邮件，这些字符串多与反病毒以及计算机安全相关。

　　5、通过网络传播

　　病毒会在Windows文件夹下创建一个名为Media的共享文件夹，并在其中生成自身的拷贝。病毒还会扫描本地网络的计算机，尝试通过密码探测进入Admin共享进行传播，一旦登录成功，病毒会在远程计算机的AdminSystem32文件夹中生成自身拷贝，名称为NETMANAGER.EXE。(记者张建新)