病毒名称：SCO炸弹变种B(Worm.Novarg.B)
　　警惕程度：★★★★
　　发作时间：随机
　　病毒类型：蠕虫病毒
　　传播途径：邮件
　　依赖系统: WINDOWS 9X/NT/2000/XP

　　病毒介绍：

　　1月29日，瑞星全球反病毒监测网截获了“SCO炸弹”（Worm.Novarg）病毒的一个新变种，并命名为“SCO炸弹变种B”(Worm.Novarg.b)病毒。据瑞星反病毒工程师介绍，与“SCO炸弹”不同，该病毒已经把攻击的矛头直接指向微软，将对微软网站发动拒绝服务式攻击。瑞星技术服务部门27日通过国内病毒监测网监测到1000多封携带该病毒的用户邮件，而1月29日已经上升至4000多封，并有急剧增长的趋势。

　　据瑞星反病毒工程师分析，该病毒变种的技术特性与“SCO炸弹相似”，利用病毒邮件的大量传播感染用户电脑，把感染的电脑当作代理服务器针对特定网址发送拒绝服务式攻击，这种攻击方式目前没有有效的预防措施。和“SCO炸弹”一样，该病毒变种不会感染以EDU结尾的邮件地址，尽管病毒编写者的主要目的是为了攻击微软和SCO公司，但由于带毒邮件的大量传播会消耗网络资源，并对系统设置后门，对普通用户的正常使用造成很大安全风险。

　　病毒的特性、发现与清除：

　　1.该病毒是蠕虫型病毒，采用upx压缩，病毒体大小为29,184字节。

　　2.病毒运行时会释放后门程序为：%System%\Ctfmon.dll，该后门程序使用以下TCP端口： 80、 1080、 3128、8080、10080，该后门可以下载或执行任何有害代码。可将该病毒文件直接删除。

　　注意：%system%是一个变量，它指的是操作系统安装目录中的系统目录，默认是：“C:\Windows\system”或：“c:\Winnt\system32”。

　　3. 病毒运行时会在%Temp%目录中生成一个和记事本一样图标的随机病毒文件，并自动调用记事本程序来打开它，从而显示一些伪装信息。

　　注意：%Temp%是一个变量，它指的是操作系统安装目录中的临时目录，默认是：“C:\Windows\temp”或：“c:\Winnt\temp”。

　　4. 病毒运行时会将自身复制为：%System%\Explorer.exe，目的是冒充系统的资源管理器，但系统的资源管理器是在%Windir%目录，而不是在%System%目录，广大计算机用户要注意分辨。可将该病毒文件直接删除。

　　注意：：%Windir%是一个变量，它指的是操作系统安装目录，默认是：“C:\Windows”或：“c:\Winnt”,也可以是用户在安装操作系统时指定的其它目录。

　　5. 病毒运行时如果发现有任务管理器程序(taskmon.exe)正在运行，则会立刻将该程序关闭，目的是防止用户查看内存中的病毒进程。

　　6. 病毒运行时会修改注册表：HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32，在其中建立病毒键值："(Default)" = "%System%\ctfmon.dll"，目的是替换系统中的默认浏览器程序，使用户一打开浏览器，就能自动执行病毒。可以用注册表编辑工具（regedit.exe）将该病毒键值直接删除。