各处、室、计算机用户：
    近期发现在我院的计算机网络上传播一种计算机蠕虫病毒（w32.welchia.worm）,
该蠕虫利用了Microsoft Windows DCOM RPC接口远程缓冲区溢出漏洞和Microsoft Windows 2000 WebDAV远程缓冲区溢出漏洞进行传播。蠕虫感染机器后，会产生大量长度为92字节的ICMP报文，从而导致整个网络不可用。目前，该蠕虫病毒的传播已经严重地影响到了我院计算机网络的上网速度，为彻底清除该病毒恢复网络的正常运行，现将该病毒的现象及清除办法说明如下，我们将对全院的计算机设备进行清查，发现不正常的数据包后我们将及时通知用户并负责对计算机毒进行清理，因此可能给您带来不便，请谅解。

影响系统:
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
现象:
　　如果你的系统被感染了，系统可能出现如下特征：
　　1、被感染机器中存在如下文件：
　　%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
　　%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
　　2、注册表中增加如下子项：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch
　　3、增加两项伪装系统服务：
　　Network Connection Sharing
　　WINS Client
　　4、监听TFTP端口(69)，以及一个随机端口（常见为707）；
　　5、发送大量载荷为“aa”，填充长度92字节的icmp报文，大量icmp报文导致网络不可用。
　　6、大量对135端口的扫描；

手动删除办法：
　　1、停止如下两项服务（开始->程序->管理工具->服务）：
　　WINS Client
　　Network Connections Sharing
　　2、检查、并删除文件:
　　%SYSTEMROOT%\SYSTEM32\WINS\DLLHOST.EXE
　　%SYSTEMROOT%\SYSTEM32\WINS\SVCHOST.EXE
　　3. 进入注册表（“开始->运行：regedit），删除如下键值：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcTftpd
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services RpcPatch
　　4. 给系统打补丁（否则很快被再次感染），补丁可从"我院主页->办公系统->ftp下载->系统补丁"下载安装。  

                                联系：5648733  潘汉杰