据朝华软件病毒应急中心最新预告，一种命名为"秋天的童话"(别名"秋天的故事")的蠕虫病毒可能在9月18日爆发，该病毒以纪念9.18事件为口号，通过发送带毒邮件进行传播，利用了已知的漏洞，病毒运行后会将自己拷贝到系统目录下，并且修改注册表启动项的默认值来进行自启动,然后向外发送大量的带毒邮件，如果用户不小心点击病毒附件时，病毒就会运行。病毒发作时还会弹出一些有政治色彩的消息窗口，并且用指定内容覆盖硬盘中的所有网页文件。

　　据朝华·安博士防病毒软件工程师介绍，该病毒常用"秋天的童话"作为邮件主题，邮件内容为："曾经有一份真诚的爱情摆在我面前，可是我没有去珍惜......"，附件即为病毒体。它采用发送病毒邮件的方式进行传播，病毒长度118784，使用VB编写，文件特征看起来更像PIC图像文件，虽然传播速度一般但危害等级不小。

　　朝华·安博士防病毒软件工程师提醒大家，已安装朝华·安博士防病毒软件的用户运行朝华·安博士防病毒软件后，升级最新引擎及补丁便可预防该病毒，更可安全清除病毒。

　　"秋天的童话"　病毒特征分析

　　病毒名称：Win32/Autofairy.WORM

　　病毒类型：蠕虫

　　感染系统：Windows 95/98/Me/NT/2000/XP

　　病毒特征：

　　 1、生成病毒文件

　　 该病毒使用VB6编写，并经UPX压缩。病毒运行后，首先在系统文件夹和Window临时文件夹下生成一系列的病毒文件：

　　在C:\Windows\System下生成?.exe

　　在C:\Windows\System下生成（未设置键值）.exe

　　在C:\Windows\Temporary Internet Files下生成Islove?.jpg.exe

　　 2、通过电子邮件进行传播

　　 病毒修改C:\Windows\SAMPLES\WSH\Network.vbs文件为病毒的发信模块。一旦发信模块启动，病毒将向OutLook地址簿中的前50个联系人发送带毒电子邮件。病毒邮件的附件看起来象是图象文件，其实是一个可执行文件，具有一定的迷惑性。

　　病毒邮件的形式如下：

　　 主题："秋天的童话"

　　 内容："曾经有一份真诚的爱情摆在我面前,可是我没有去珍惜......"

　　 附件：（为病毒体本身，名称为下列之一）

　　Islove?.jpg.exe、Helpme?.jpg.exe、Myphoto?.jpg.exe eml.tmp

　　 同时，病毒还对其病毒文件属性等进行了伪装，版本为5.2615.0200，版权信息是Copyright ? Microsoft Corp. 1995-1999.，从而使得病毒文件看上去是来自微软。

　　 3、修改注册表和系统文件

　　 不同于病毒通常所采用的方式，病毒不是向注册表的启动项RUN里添加键值，而是修改RUN项的默认启动项键值，用以达到随系统启动而自动运行的目的。这样一来，从表面上看起来似乎是没有什么改变，具有很强的欺骗性： [未结束]

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　@="(未设置键值)"

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

　　@="?"

　　 病毒还修改注册表中的.ini文件关联：

　　HKEY_CLASSES_ROOT\inifile\shell\open\command

　　@="C:\\WINDOWS\Temporary Internet Files\Myphoto?.jpg.exe %1"

　　清除方法

　　自动清除：运行VirusClean之后，升级最新引擎及补丁。

　　手动清除

　　按Ctrl+Alt+Del三键，启动程序管理器，切换到进程管理，然后结束掉其中的” .exe”;”(未设置键值).exe”;” Islove?jpg.exe”;” Myphoto?jpg.exe”;” Helpme?jpg.exe”进程；然后在磁盘上找到上述的几个文件，一一删除。并修改C:\autoexec.bat文件，察看其中的代码，如果发现以下代码，则删除掉这些代码

　　@ECHO Warning! illegal access error!

　　ECHO a fatal BIOS error,be incapable of data to load......

　　:USA

　　GOTO :USA

　　以上最后两句代码将会导致系统无法启动，僵停在启动的Dos界面上。

　　并打开注册表编辑器，定位到

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，将默认键值清空：再定位到KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunService，将默认键值清空； 并按住shift键右键单击桌面上前面步骤建立的.INI文件，再弹出的菜单中选择“打开方式”项目，重新为.INI文件选择一个用于打开的程序，通常选择“记事本”程序即可。

　　欲了解更多有关朝华软件的信息，请登录www.zarvasoft.com或www.zvc.com.cn。