花了快一天找出來的.....
1.一開始是從防火牆看到大量的445port封包,接著發封包的電腦愈來愈多台.

2.馬上去查發出封包的電腦,用最近的病毒定義,掃瞄引擎,掃不到任何病毒,但封包依然不斷出現

3.先檢查是否有沒看過的服務或程式被啟動...此時發現rbot32.exe這個檔案!,檢查系統啟動時的run下面.也發現rbot32.exe的登錄機碼,再去另一台有同樣像現的電腦檢查,一樣看到rbot32.exe,再興另一台沒中毒的電腦比對相異之處,結論為有中毒之電腦皆為administrator之密碼空白,沒中毒那台administrator有設定密碼

4.驗證是否該檔為病毒,進入安全模式,移除所有與rbot32.exe相關之資料(檔案,機碼)
一台將administrator更名並加入密碼,另一台保持administrator空白密碼,處理完後重開機.

5.檢查這兩台電腦是否仍送出封包!經用netstat -a檢查後發現已無445之封包,經過十分鐘後,administrator未更名之電腦,開始又出現大量之封包(445)......檢查電腦後發現rbot32.exe又出現了,而另一台有更名及加入密碼之電腦並無症狀

6.依造上述狀況研判,該病毒特性與W32.HLLW.Gaobot.gen極為相似,可能為變種病毒,就算windows修補到最新了,只要administrator的權限被取得,病毒仍可入侵
(當然administrator不設密碼,實在是很糟的事......因為各單位電腦自己管.我們管不著...廠商都是幫他們做administrator自動登錄,空白密碼) ,至於簡單之密碼如123,321,aaa,bbb是依W32.HLLW.Gaobot.gen的特性推斷出來的,是否真的一樣,不確定也沒空嘗試,反正請user密碼設長一點總是比較安全

以上為分析過程,當然這只是我們自己的分析,而我們並不是防毒公司,正式的訊息可能還是要等防毒公司發佈,這些資訊是提供大家萬一遇到和我們一樣狀況時,緊急的應便方法,給大家參考參考.....今天至少有二十台同感染,網路變得很慢很慢.....此時就可以了解為何那麼多人討厭MicroSoft了....