计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种新病毒“天使”(Win32_Angel.A)，该病毒会感染计算机系统中的可执行文件，并且试图让受感染的计算机系统主动连接下载网络中指定服务器上的病毒、木马等恶意程序。

    该病毒是Worm_Mytob变种，并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过网络的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能，会使用不同的端口连接到指定的服务器上面，该服务器监听来自远程恶意用户的指令，利用这个指令远程用户可以控制受感染机器。同时，该变种利用一个任意的端口建立一个 FTP服务器，远程用户可以下载或上传文件或是恶意程序。该病毒是常驻内存的蠕虫病毒，利用RPC DCOM缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播，还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后，在%System％文件夹下生成自身的拷贝 nvchip4.exe。添加注册表项，使得自身能够在系统启动时自动运行。
    它还会向局域网内发送伪造的ARP欺骗广播，并将受感染的计算机系统伪装成局域网网关，当局域网中的计算机系统发出访问Web网页请求的时候，伪装成网关的计算机系统会把Web网页下载下来并在其中添加一段恶意地址代码一并发送给发出请求的计算机，造成该计算机系统访问Web网站时会主动连接该恶意网址，随后下载大量病毒、木马程序，盗取用户帐号、密码等敏感信息，将盗取的信息上传到指定的网络服务器上，使得计算机系统遭到进一步的破坏，可能导致整个局域网成为“僵尸网络”。病毒运行后，将病毒文件自身复制到受感染计算机系统的系统目录下，并将其属性设置成“系统隐藏”，导致计算机用户无法发现并删除。病毒还会修改受感染系统的注册表启动项，以便随系统启动而自动运行。同时，病毒会不断地监控注册表有关键值项，如发现自身的添加的启动项被删除，就会立即将其恢复回来。
病毒会搜索系统中所有磁盘分区中的可执行文件，将其感染，受到感染的可执行文件大小会变大，占用磁盘空间会增大，并且无法正常使用。另外，在病毒感染可执行文件的这个过程中，病毒会给每个受感染的文件做标记，以避免文件被重复感染。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ ; Mozilla/4.0(Compatible Mozilla/4.0EmbeddedWB- 14.59  from: http://bsalsa.com/ )