警惕程度：★★★★
　　发作时间：随机
　　病毒类型：蠕虫病毒
　　传播途径：网络/邮件
　　依赖系统: WINDOWS9X/NT/2000/XP

　　病毒介绍：

　　该病毒通过发送带毒邮件进行传播，并且试图通过格式化C盘来破坏用户硬盘数据，具有很大的诱惑性与危害性。病毒发作时会检查用户操作系统的语言设置，如果病毒发现用户使用的是英文的操作系统，则病毒就会改写系统的自启动文件，在其中加入式化C盘的代码，当用重启计算机时，系统就会自动格式化硬盘。

　　病毒运行后会将自己拷贝到系统目录下，并且修改注册表启动项的默认值来进行自启动,然后向外发送大量的带毒邮件，如果用户不小点击病毒附件时，病毒就会运行。病毒发作时还会弹出一些消息窗口，并且用指定内容覆盖硬盘中的所有网页文件。

　　病毒的发现与清除：

　　1.病毒运行时会Ping下列网站：www.dell.com、www.winzheng.com、www.yn.cninfo.net、www.km169.net、www.163.com。

　　2.病毒运行后会隐藏后台，并登记自己为自启动，然后修改ini文件关联，使系统只要打开INI文件就能运行病毒。

　　3.病毒运行时会拷贝自己为下列文件之一，并将这些文件做为病毒邮件的附件：
　　\Temporary Internet Files\Helpme.exe\Temporary Internet Files\Myphoto.jpg.exe\Temporary Internet Files\Islove.jpg.exe\Temporary Internet Files\Helpme.jpg.exe\Temporary Internet Files\Myphoto.exe\Temporary Internet Files\Islove.exe用户可以查找以上目录的病毒文件，找到后直接将这些病毒体删除。

　　4.病毒会生成标题为：“秋天的童话”，内容为：“曾经有一份真诚的爱情摆在我面前,可是我没有去珍惜......”，附件为以上文件的带毒邮件，如果在收件箱发现有此内容的邮件时，请不要运行邮件附件，直接将该病毒邮件删除即可。

　　5.病毒会生成一个文件：WinStart.bat，用来格式化c:盘，此文件中包含字符串：“Because you don't love your motherland. So we are formating Your Hard-Disk......”和格式化C盘的代码，用户可以查找该文件，找到后将之删除，或将该文件中的格式化C盘的内容删除。

　　6.病毒会修改系统文件：Autoexec.bat，使用户启动时看到如下信息：Warning! illegal access error!a fatal BIOS error,be incapable of data to load......，用户可以检查该文件的内容，将上述内容删除，或者直接删除该文件。

　　7.病毒会修改win.ini文件，并在此文件中添加如下文字：sCountry=United States,用户可以用记事本工具来编辑该INI文件，将上述内容删除。

　　反病毒专家的安全建议：

　　1.建立良好的安全习惯。例如：对一些来历不明的邮件及附件不要打开，不要上一些不太了解的网站、不要执行从Internet下载后未经杀毒处理的软件等，这些必要的习惯会使您的计算机更安全。

　　2.关闭或删除系统中不需要的服务。默认情况下，许多操作系统会安装一些辅助服务，如FTP客户端、Telnet和Web服务器。这些服务为攻击者提供了方便，而又对用户没有太大用处，如果删除它们，就能大大减少被攻击的可能性。

　　3.经常升级安全补丁。据统计，有80%的网络病毒是通过系统安全漏洞进行传播的，象红色代码、尼姆达等病毒，所以我们应该定期到微软网站去下载最新的安全补丁，以防范未然。

　　4.使用复杂的密码。有许多网络病毒就是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数。

　　5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

　　6.了解一些病毒知识。这样就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏：如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果了解一些内存知识，就可以经常看看内存中是否有可疑程序。

　　7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、遇到问题要上报，这样才能真正保障计算机的安全。