我公司使用的是Symantec Norton 企业版。一直以来未出现过大的疏漏（最多就是可以检测到病毒，但无法查杀，多数由于补丁不全所致），但上个周末却让我着实的吃了苦头。

12月23日周六，在家突然接到同事电话，说公司很多服务器无法被访问，匆忙赶到公司，发现超过20台NT服务器FTP服务无法使用（DMZ服务器居多，少数为内网服务器）。检查进程，发现都具有相同的可疑进程"symtea.exe"，注册表中有4、5处相应键值，C:\WINNT\system32和C:\Program files\Symantec Antivirus文件夹下可以找到同名文件。

感染该病毒的计算机会使用TCP 2967端口继续感染其他计算机；在互联网出口防火墙察看日志，目的端口为2967、2007的数据包非常多（3秒钟几万个连接，还好俺的防火墙牛——千兆还双机，就不说是谁的了，否则有广告之嫌。2967为Norton所用端口）。受到感染的计算机很多正常服务无法启动，并且部分服务器上的norton无法正常更新和杀毒。

23日，norton未发布病毒特征定义，只能靠手工清除。其中，Win2003 server通过手工清除后，基本可以正常使用，但会弹出一些错误提示（似乎是为清除干净或来自网络中其他计算机的攻击）。2000 server手工清除几乎没有效果——重启后症状依旧。
24日，Symantec出了该病的特征定义（20061223），病毒名称为“W32.IRCBot.AMTE”，但效果不佳。
25日，Win2000 server上，发现了2个变体——mssym.exe（会发起一个到意大利IP的目的端口为5599的TCP连接）、alccz.exe，症状基本同前。


此事正应验了中国的一句俗话：“人怕出名，猪怕壮”。这个病毒估计是哪位高人送给Symantec（可能也包括Microsoft）的一个圣诞礼物，呵呵。

希望Symante能早点出个对策（20061224的病毒库，仍无法解决这个病毒），以解我燃眉之急。
更希望国内的防病毒厂商快速壮大，能为更多的企业用户提供优质的产品和服务（Symantec的国内病毒定义要比美国晚一天）。


注：发现此病毒前，所有系统均安装了最新的安全补丁，NT系统管理员尽到了职责。


就说到这，明天还得跟这个破病毒作战。

新增变种：symantec1.exe，winsym32.exe，症状基本同前。