国家计算机病毒应急处理中心通过对互联网的监测，于2003年9月1日发现一个通过电子邮件传播的蠕虫病毒，经分析证实该病毒已在我国出现，并将病毒命名为"秋天的童话"（WORM_Autufairy.A）。目前，国内受感染的用户数量还比较少，国家计算机病毒应急处理中心在这里提醒广大用户，在病毒大面积扩散之前，及时升级杀毒软件，并启动"实时监控"功能，做好病毒的防范工作。

　　病毒主要通过电子邮件进行传播，其病毒邮件的附件看起来象是pic图象文件，而实际上是一个可执行文件，一旦点击运行，病毒就会发作，并且病毒文件的版本信息看上去好像是来自微软，病毒采用了多种手段迷惑用户，其目的都是一个，就是诱骗用户运行邮件的带毒附件，使病毒发作，从而进一步传播。

　　该病毒的技术报告如下：

　　病毒名称："秋天的童话"（WORM_Autufairy.A）
　　病毒类型：蠕虫
　　感染系统：Windows 95/98/Me/NT/2000/XP
　　病毒特征：

　　该病毒的传播利用了已知的漏洞，病毒同时使用UPX进行压缩。

　　1、生成病毒文件

　　该病毒使用VB6编写，并经UPX压缩。病毒运行后，首先在系统文件夹和Window临 时文件夹下生成一系列的病毒文件：
　　在C:\Windows\System下生成?.exe
　　在C:\Windows\System下生成（未设置键值）.exe
　　在C:\Windows\Temporary Internet Files下生成Islove?.jpg.exe

　　2、通过电子邮件进行传播

　　病毒修改C:\Windows\SAMPLES\WSH\Network.vbs文件为病毒的发信模块。一旦发信模块启动，病毒将向OutLook地址簿中的前50个联系人发送带毒电子邮件。病毒邮件的附件看起来象是pic图象文件，其实是一个可执行文件，具有一定的迷惑性。病毒邮件的形式如下：
　　

　　主题："秋天的童话"

　　内容："曾经有一份真诚的爱情摆在我面前,可是我没有去珍惜......"

　　附件：（为病毒体本身，名称为下列之一）
　　Islove?.jpg.exe、Helpme?.jpg.exe、Myphoto?.jpg.exe eml.tmp

　　同时，病毒还对其病毒文件属性等进行了伪装，版本为5.2615.0200，版权信息是Copyright ? Microsoft Corp. 1995-1999.，从而使得病毒文件看上去是来自微软。

　　3、修改注册表和系统文件
　　不同于病毒通常所采用的方式，病毒不是向注册表的启动项RUN里添加键值，而是修改RUN项的默认启动项键值，用以达到随系统启动而自动运行的目的。这样一来，从表面上看起来似乎是没有什么改变，具有很强的欺骗性：
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　@="(未设置键值)"

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
　　@="?"
　　

　　病毒还修改注册表中的.ini文件关联：
　　HKEY_CLASSES_ROOT\inifile\shell\open\command
　　@="C:\\WINDOWS\Temporary Internet Files\Myphoto?.jpg.exe %1"

　　4、其它

　　病毒发作时，病毒会搜索逻辑盘，用指定的内容覆盖所有的asp、htm、html、shtml文件，病毒还试图格式化被感染的计算机，但由于病毒的部分功能不正确，实际上格式化硬盘无法实现。另外，该病毒还含有一些较为激进的政治言论。 　　

　　目前，国家计算机病毒应急处理已接到江民、金山和瑞星公司关于该病毒的报告，同时这些公司也对杀毒软件进行了相应的升级。应急中心提醒广大用户升级杀毒软件，启动实时监控功能，留意病毒邮件的特征，收到此类邮件千万不要打开附件，应立即删除。