时间：2003年3月29日

　　新华社电　国家计算机病毒应急处理中心通过对互联网的监测，发现一个名为“维迪”(Worm＿Witty.A)的新蠕虫病毒，感染系统为Windows95\98\2000\NT\Me\XP\Server2003。该病毒通过UDP4000端口向随机IP发包，利用UDP报文传播。建议使用相关产品的用户立即到ISS公司的网站http：//www.iss.net/download/，下载漏洞的补丁程序和进行产品的升级。据了解，病毒利用了ISS公司的产品漏洞，出现首先表现为UDP端口4000的流量异常。
 
　　其特征为：

　　1、通过UDP4000端口向随机IP的随机端口发送自身，并且伪装成ICQ数据包。

　　2、利用ISS公司产品在扫描ICQ数据包时的漏洞，通过缓冲溢出，获得系统权限。

　　3、病毒驻留内存，并且不会在机器上创建文件，但会向硬盘中写入随机数据。由于ISS公司产品多用于网络监控和管理，所以Witty蠕虫有可能对ISP造成严重影响，而对于最终用户影响并不显著。

　　又讯国家计算机病毒应急处理中心通过对互联网的监测，发现“网络天空”出现又一变种。

　　该变种感染系统为Windows95\98\2000\NT\Me\XP\Server2003，其特征为：

　　1、生成病毒文件

　　在%Windows%目录下生成FVPROTECT.EXE，SERCONFIG9X.DLL。

　　2、修改注册表项

　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKEY＿LOCAL＿MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下创建NortonAntivirusAV＝"%Windows%\FVProtect.exe"

　　3、病毒的传播

　　病毒通过电子邮件传播，病毒在被感染用户的系统内搜索多种扩展名的文件，找到电子邮件地址，并使用自带的SMTP向这些地址发送带毒的电子邮件。

　　手工清除该病毒的相关操作：

　　1、终止病毒进程：在Windows9x/ME系统，同时按下CTRL＋ALT＋DELETE，在WindowsNT/2000/XP系统中，同时按下CTRL＋SHIFT＋ESC，选择“任务管理器——〉进程”，选中正在运行的进程″FVPROTECT.EXE″，并终止其运行。

　　2、注册表的恢复：点击“开始——〉运行”，输入regedit，运行注册表编辑器，依次双击左侧的HKEY＿LOCAL＿MACHINESoftwareMicrosoftWindowsCurrentVersionRun，并删除面板右侧的NortonAntivirusAV＝″%Windows%＼FVProtect.exe″

　　3、删除病毒释放的文件：点击“开始——〉查找——〉文件和文件夹”，查找文件″FVPROTECT.EXE，USERCONFIG9X.DLL″，并将找到的文件删除。

　　4、运行杀毒软件，对系统进行全面的病毒查杀。