江民公司最新截获了一种新欢乐时光变种病毒，该病毒通过邮件传播，是一种恶意脚本病毒。目前已经接到国内关于此病毒的感染案例，并且此病毒还在大面积扩散之中。江民公司反病毒专家刘杰提醒用户，凡看见以下特征的邮件请小心！

    带有这个病毒的邮件特征可能为下面几种：
邮件主题： Articulo
邮件正文：Te envio este articulo que encontre en internet, es
interesante y tal vez te sirva, he estado un poco ocupado, luego te
cuento.
Adios

邮件主题： Efectos en web
邮件正文： Oola, te envio esta pagina, tiene unos muy buenos efectos,
a mi me sorprendio Te escribo luego, hay una cos a que quiero contarte.
Adios

    附件是一个HTML文件，包含VBScript病毒程序，名称为AngeldelMar.html.当文件被打开时，病毒程序执行，生成文件C:WindowsSystemGaghiel.vbs，经检测该文件带有VBS/Gaggle-A病毒。然后修改注册表，使系统启动时自动运行VBS文件：
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun = "Gaghiel"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Domain Manager = "Gaghiel"

    当VBS文件首次运行时，检查当前日期，如果大于25，就把IE的主页改成：http://www.gratisweb.com/machinedramon1sachiel.jpg.scr

    蠕虫会计算日期和月份的和，如果它们的和等于三十，就弹出一个消息框，内容是用西班牙语显示的：
"Oracion antes de entraral internet:
Satelite nuestro que estas en el cielo,
Acelerado sea tu link,
Venga a nosotros tu hipertexto,
Hagase tu conexion en lo real comoen lo virtual,
Danos hoy el download de cada dia,
Perdona el cafe en el Teclado,
Asi como nosotros perdonamos a nuestros proveedores,
No nos dejes caer la conexion,
Y libranos de todo Virus,
En nombre del Server, del Modem y del santo User-name.
Log-in."

    蠕虫创建病毒文件：
C:WindowsGaghiel.vbs 和 C:WindowsSystemAngeldelMar.htm。蠕虫会搜索所有本地驱动器和网络驱动器上的扩展名为：HTML， HTM， HTA， PHP， ASP， SHTML， SHTM， PHTML， PHTM， SFC的文件，如果这些文件内容中含有字符串"Gaghiel"，蠕虫就会把VBS病毒代码加到这个文件的尾部，但如果是VBS或VBE文件，会被蠕虫的覆盖。蠕虫通过修改注册表HKEY_CURRENT_USERIdentities{当前用户的ID}SoftwareMicrosoftOutlook Express5.0Mail中的Message Send HTML，Compose Use Stationery 和 Stationery Name Converted三个键值，把Microsoft Outlook Express的设置修改成用HTML格式发送邮件，用带病毒的文件C:WindowsGaghiel.html 作为默认的信纸。蠕虫还会删除regedit.exe，regedb32.exe，msconfig.exe 和 C:WindowsRecent 文件中的所有文件。

清除方法：
    用江民最新版《KV3000杀毒王》全面扫描系统，把检测到感染VBS/Gaggle-A的文件删除，重新修改Microsoft Outlook Express的设置。