病毒類型:木馬程序
感染長度:178752字節
危害級別:高
傳播速度:中
病毒特征:
該病毒運行後會:
(1)復制兩個自己的拷貝到Windows的系統目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下,並分別更名為rundll.exe和sysedit32.exe。
(2)修改注冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe",使木馬程序在開機後自動運行(其中%windowssystem%為Windows的系統目錄)。
(3)修改注冊表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe,關聯記事本,使用戶打開txt文件時木馬程序能獲得運行機會。
(4)該木馬會通過QQ程序向其它的QQ用戶發送“http://sckiss.yeah.net,你快去看看?..褚獯氲耐場?/a>
(5)該木馬還會嘗試盜取QQ用戶的密碼並將其發送至指定的郵箱。有趣的是,由於病毒作者使用了一個組件來發送郵件,因此當木馬程序執行發送郵件的操作時,該組件可能會彈出兩個對話框,其中一個的內容為“220 welcom to coremail system(With Anti-Spam)
手工清除該木馬的方法:
(1)打開任務管理器,結束掉RUNDLL和SYSEDIT32進程。
(2)刪除系統文件夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的文件(文件大小為1781752字節)。
(3)打開注冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.exe"的鍵值。恢復HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統文件夾)
(4)若根目錄下存在文件setup.txt或mima.txt,將其刪除。