病毒特徵
利用QQ傳送誘惑信息,導致用戶上當。病毒傳送一些誘惑新的文字和連結給線上的好友,致使不明真相的用戶上當。
1.複製自己到系統目錄:
%SYSDIR%\internet.exe
%SYSDIR%\svch0st.exe
2.修改如下註冊表鍵值病毒自啟動的伎倆>:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "Network Associates, Inc." = "INTERNET.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "S0undMan" = "%SYSDIR%\SVCH0ST.EXE"
3.病毒運行後將建立一個HTTP伺服器,監聽TCP連線埠20808
該功能將回響遠程的下載請求,將本地的病毒檔案複製到遠程機器。
4.病毒搜尋QQ聊天軟體,向線上的好友傳送誘惑信息,內容如下:
“你是那樣地美,美得象一首抒情詩。你全身充溢著少女的純情和青春的風采。
留給我印象最深的是你那雙湖水般清澈的眸子,以及長長的、一閃一閃的睫毛。
像是探詢,像是關切,像是問候。
這是你需要的東西:
下載地址1
http://*.*.*.*::20808//%DRIVE%c:\\filename.exe
下載地址2
http://*.*.*.*::20808//%DRIVE%c:\\filename.exe”
上面的內容頭部也可能為下列之一:
其實,我最先認識你是在照片上。照片上的你托腮凝眸,若有所思。那份溫柔、那份美感、那份嫵媚,使我久久難以忘懷
遠遠地,我目送你的背影,你那用一束大紅色綢帶扎在腦後的黑髮,宛如幽靜的月夜裡從山澗中傾瀉下來的一壁瀑布。
你蹦蹦跳跳地走進來,一件紅尼大衣,緊束著腰帶,顯得那么輕盈,那么矯健,簡直就像天邊飄來一朵紅雲。
你笑起來的樣子最為動人,兩片薄薄的嘴唇在笑,長長的眼睛在笑
春花秋月,是詩人們歌頌的情景,可是我對於它,卻感到十分平凡。只有你嵌著梨渦的笑容,才是我眼中最美的偶像。
你其有點像天上的月亮,也像那閃爍的星星,可惜我不是詩人,否則,當寫一萬首詩來形容你的美麗。
你是一尊象牙雕刻的女神,大方、端莊、溫柔、姻靜,無一不使男人深深崇拜。 在風吹乾你的散發時,我簡直著魔了:在閃閃發光的披肩柔發中,在淡淡入鬢的蛾眉問,在碧水漓漓的眼睛裡……你竟是如此美麗可人!
你是花叢中的蝴蝶,是百合花中的蓓蕾。無論什麼衣服穿到你的身上,總是那么端莊、好看。
你那瓜子形的形(編者註:該字疑為病毒作者筆誤),那么白淨,彎彎的一雙眉毛,那么修長;水汪汪的一對眼睛,那么明亮!
其中*.*.*.*為本機地址,%filename%為下列之一:
"c:\stup.exe"
"c:\hello.exe"
"c:\flash.com"
"c:\123456.exe"
"c:\pass.exe"
"c:\game.exe"
"c:\my_photo.exe"
"c:\update.exe"
"c:\mp3.exe"
"c:\666666.exe"
這些都是病毒本身。
5.鑒於該病毒的特殊性,尤其是女性的使用QQ的用戶,請看到上述信息時請不要上當。
清除方法
(1)打開任務管理器查看是否存在進程名為: INTERNET.EXE或SVCH0ST.EXE,終止它
(2)打開註冊表編輯器,刪除如下鍵值<如果存在的話>:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "Network Associates, Inc." = "INTERNET.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "S0undMan" = "%SYSDIR%\SVCH0ST.EXE"
(3)將%WINSYS%目錄下的檔案: SVCH0ST.EXE和SVCH0ST.EXE刪除
註:%WINSYS%位Windows系統的安裝目錄,在win9x,winme,winxp下默認為:C:\WINDOWS\SYSTEM,win2k下默認為:C:\WINNT\SYSTEM32.
