病毒名稱Trojan.Sckiss.178752

  病毒類型：木馬程序 
感染長度：178752字節 
危害級別：高 
傳播速度：中 
 
病毒特征： 
 
該病毒運行後會： 
 
(1)復制兩個自己的拷貝到Windows的系統目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下，並分別更名為rundll.exe和sysedit32.exe。 
　　 
(2)修改注冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe"，使木馬程序在開機後自動運行(其中%windowssystem%為Windows的系統目錄)。 
 
(3)修改注冊表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe，關聯記事本，使用戶打開txt文件時木馬程序能獲得運行機會。 
 
 (4)該木馬會通過QQ程序向其它的QQ用戶發送“http://sckiss.yeah.net，你快去看看?..褚獯氲耐場?/a> 
 
(5)該木馬還會嘗試盜取QQ用戶的密碼並將其發送至指定的郵箱。有趣的是，由於病毒作者使用了一個組件來發送郵件，因此當木馬程序執行發送郵件的操作時，該組件可能會彈出兩個對話框，其中一個的內容為“220 welcom to coremail system(With Anti-Spam) 2.1”，另外一個對話框為“Cannot open file .mima.txt”。 
 
手工清除該木馬的方法： 
 
(1)打開任務管理器，結束掉RUNDLL和SYSEDIT32進程。 
 
(2)刪除系統文件夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的文件（文件大小為1781752字節）。 
 
 (3)打開注冊表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.exe"的鍵值。恢復HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統文件夾) 
 
 (4)若根目錄下存在文件setup.txt或mima.txt,將其刪除。 

 

病毒名稱Trojan.Sckiss.178752.