三）邮件附件

　　在伪装方面，这款病毒做的真是很不错，不但主题、信件内容随机，连附件名也是随机的。我们来看看：附件名由两部分组成，一是随机的一个数字，二是以下字符串的随机组合：

tgfdfg jhfxvc cgfd2 trevc t6tr ffdasf glkfh fhjdv qesac kujzv weafs twat rewfd gfdsf hgbv fdsc p0olik 3tgf rf43dr t54refd ut545a r4354gkjw vgrewu xw54re y343rv z3vdf

　　文件名已经随机了，文件类型也是随机的，从以下几种类型中选择：.pif、.scr、.exe、.com、.bat

　　我们考虑一下，有以上三部分组成的一个邮件，我们是不是可以很快就能区别是否感染病毒？可能比较困难，因为我们不可能每一个邮件去对照，所以，接到了邮件以后，小心谨慎是必要的。

　四）破坏方法

　　在感染病毒以后，病毒会将自己拷贝到系统的Windows目录，同时，将自己改名为：karen.exe。为了保证自己随系统启动的时候直接运行，病毒会修改注册表以下键值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　这样就将自己加入到启动菜单。

　　同时，病毒会查找是否有mIRC运行，如果有，常识通过改程序传播；为了通过网页传播自己，病毒会修改微软IIS服务器的默认主页，并询问用户是否下载改名以后的病毒自身。

　五）检测与清除

　　这款病毒检测比较简单，直接看C盘的Windows目录是否有karen.exe文件，如果有，那就是中了病毒。清除方法是将该文件删除，并且修改相应注册表键值；然后，修改IIS的默认主页，删除IIS默认目录下的web.exe文件。

三、怎样看待病毒

　　通过以上病毒的分析，我们现在已经很清楚：其实这款病毒虽然厉害，但是还是不可能有“尼姆达”那样的大的破坏性。回头看看现在网上出现的关于此病毒的介绍：“大公司网络染上可能瘫痪”“疯狂蔓延”。我们知道，这些基本是不属实的，现在这个病毒既不能“让网络瘫痪”，也不能“疯狂蔓延”，因为我们找不到它可以让网络瘫痪的技术原因，更加找不到“疯狂蔓延”的途径。那么，为什么会有这样的报道呢？只有一个原因，谁可以得到最大的好处谁就会去做。

　　所以，当网络上出现病毒公告的时候，我们没有必要太认真，我们完全可以等负责任的网站（比如：yesky.com、ccw.com.cn、ccid.com.cn等）发布详细的病毒分析后再去决定自己该采取怎样的应对措施。对于个人用户，更加没有必要太惊惶，被网络牵着鼻子走，以为到处是病毒。所以，我们在这里提议，企业用户特别是重点企业的用户，应该安全管理员自己去了解病毒的信息而不是只看看网站的病毒公告，最好去权威的网站看病毒分析以后再做相应的措施。而对于一般个人用户，更加没有必要太惊惶，因为真的被这些病毒感染的机会是很少的。那些具有特大破坏性的病毒，我们的政府机关会在适当地时候提醒大家防范病毒，比如今年的尼姆达病毒，公安部就专门提醒全国用户注意。

　　而我们的网络媒体特别是专业的IT网站，也应该真正的为自己的用户着想，发布信息的时候适当甄别，以免给网络造成不信任气氛，也给网站带来不好的影响。

【责任编辑：ROCK】