本文目录一览:
什么是爱情森林病毒,它是怎样传播的?
此病毒是已知的第一个利用QQ进行传播并破坏的恶性木马病毒。它利用本机QQ,在用户不知道的情况下向用户的好友发送一句消息:“ 这个你去看看!很好看的”一旦登陆此网站,便会中毒。因为此网站的主页是一个恶意网页,它会自动下载“爱情森林”病毒并执行,从而对用户计算机造成破坏。
爱情森林是什么样的病毒?
病毒基本资料:
病毒名:Trojan.Sckiss(爱情森林)
病毒长度:176,643字节
病毒原名:HACK.EXE
原始病毒邮件名:s.eml
此病毒用UPX软件进行压缩,压缩后大小接近200K,是一个异常庞大的病毒。而且此病毒利用了多种方式进行传播:本机感染,QQ诱骗、网页帮凶,所以有极强的传播能力,请用户密切注意此病毒的最新动向。
经瑞星反病毒专家分析,此病毒有以下特性:
一、 利用邮件包装,形成自启动邮件。
病毒的原始文件是一个名为HACK.EXE的木马病毒,病毒作者为了能使病毒“初战告捷”,迅速占领用户计算机,利用了OUTLOOK的邮件漏洞,将原始病毒包装成一个可以预览执行的病毒邮件:s.eml,然后放入一个恶意网页中,等待下载。
二、 利用QQ工具,发送伪装信息。
如果用户不小心点击或预览了病毒邮件,病毒便可执行。病毒执行时会搜索用户的QQ程序,如果用户在线的话,病毒会伪装成用户,给用户的所有在线的好友发送一条用户无法查觉的隐藏信息,此信息的内容为:“ 这个你去看看!很好看的”如果用户的好友在收到了此信息后,因为好奇而点击了此链接,则会进入一个恶意网页。
三、 利用恶意网页帮凶,导致病毒泛滥.
该恶意网页用JS语言编写,利用了JAVA EXPLOIT漏洞,所以不经用户的允许,便可以悄悄运行自动下载“爱情森林”病毒邮件(s.eml)并执行。然后此恶意网页会修改用户注册表进行破坏:将用户的IE标题改为:“爱情森林”,使用户的“运行”菜单项无法使用,并且将用户的IE默认首页改为:“”,此恶意网页还将此网址加入注册表中的RUN自启动项。这样以来,无论用户启动计算机还是启动IE浏览器,都可以自动链接到恶意网页,感染病毒。
四、 侵占系统目录,继续“生生不息”。
“爱情森林”病毒通过QQ发送信息之后,便开始进行本机的感染。病毒首先改名为:“EXPLORER.EXE”,然后将之拷贝到WINDOWS的系统目录(SYSTEM或SYSTEM32)下,这样用户即使发现也不会起疑心,然后病毒修改注册表,在RUN的自启动项中建立一个EXPLORER的键值,将病毒路径加入其中,一旦计算机重启,病毒便可自动运行,再次进行以上感染。
使用瑞星2006或者江民2006下载最新的病毒包升级即可完全删除该病毒
系统检查(2000 xp),发现爱情森林病毒,可疑文件: c:\windows\system32\rundll.exe.
c:\windows\system32\drivers\cnsMinKP.sys.这是上网助手卸
载后,在内存中遗留下的文件,如果你以cnsMinKP.sys在注册表里查找会找到三个这样的键值,他的目的是让你无法全面删除他。这个文件非常占内存,是个垃圾文件,建议你用超级兔子清理掉。
c:\windows\system32\rundll.exe.是系统文件不能删除的。
既然是“爱情森林"那我告诉你清除方法
该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会:
1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中% windowssystem%为Windows的系统目录)
3、该木马程序还会在站点下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。
手工清除该木马的方法
1、先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
2、打开注册表编辑器(方法是:开始菜单——运行键入Regedit),删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
