Trojan/Killav.ao

病毒长度：147,456 字节, 16,384 字节

病毒类型：木马

危害等级：**

影响平台：Win9X/2000/XP/NT/Me

Trojan/Killav.ao用C++编写，通过给Windows地址簿里的邮件地址发送邮件进行传播，此外还利用KaZaA文件共享软件进行传播，修改URL使其指向特定的站点。

传播过程及特征：

1.复制自身为：

%System%\\Win32.exe

%System%\\vShell.exe

%Temp%\\Update.exe

%Temp%\\Fun.exe

%Temp%\\FAQ.exe

%Temp%\\ToolBar.exe

%Temp%\\Support.exe

%Temp%\\Q322593.exe

%Temp%\\Wizard.exe

生成文件：

%System%\\vUser.exe

%System%\\OSSMTP.dll

2.修改注册表：

/添加键值："Win32"="%System%\\Win32.exe"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

/修改注册表：

HKEY_LOCAL_MACHINE\\SOFTWARE\\CLASSES\\txtfile\\shell\\open\\command

HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command

下的键值为："Default" = "%System%\\vShell.exe %1"

/生成子键：HKEY_CURRENT_USER\\Software\\Win32

3.复制自身到KaZaA的共享文件夹下为：

XP Keys.exe

OfficeXP Keys.exe

NAV_2003 Crack.exe

Doom_3 Crack.exe

GTA Vice City Crack.exe

共享文件夹的名字是搜索注册表HKEY_CURRENT_USER\\SOFTWARE\\KaZaA\\LocalContent\\DownloadDir获取的。

4.重写所有的.url文件，使其指向特定的站点。