Worm.ImpoFile

病毒名稱

Worm.ImpoFile

病毒介紹

處理時間：
威脅級別：★★
中文名稱：重要檔案
病毒類型：蠕蟲
影響系統：Win9x/ WinNT
病毒行為:
該病毒通過郵件進程傳播。附屬檔案內含有一個名為“重要檔案.exe”的病毒檔案。用戶運行該附屬檔案後，會從網上下載一個名為“密碼解霸”的木馬（Win32.Hack.PowerSpider.a）用於竊取用戶計算機內的密碼，然後發給病毒製作者手中。
1、在註冊表主鍵
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
添加如下鍵值：
"realsched"="%system%\realsched.exe"
2、將自身複製到系統目錄下：
%system%\realsched.exe
3、會彈出標題欄為“致命錯誤”，內容為“檔案損壞，請修復”的對話框，用於麻痹用戶。
4、從網上下載兩個檔案：
http://w***q.5**j.com/mm.zip（病毒本身）
本地保存為
%temp%\~a.zip
http://w***q.5**j.com/rc.jpg（密碼解霸木馬，用於竊取用戶密碼等敏感信息）
下載後本地保存為
%temp%\~Cttp.exe，並運行該檔案
5、郵件內容可能為以下之一：
請看附屬檔案。
都在附屬檔案裡面。
重要檔案。
QQ病毒專殺工具。
請查收附屬檔案，
附屬檔案在哪啊？你找到我嗎？
放心打開來。
注意，有病毒。就在附屬檔案中。
……
6、附屬檔案為一壓縮檔，包內有檔案名稱為“重要檔案.exe”的病毒檔案