W32.HLLW.Loxar蠕虫病毒通过KaZaA网络进行传播，它是用Delphi语言编写的，并经过了tElock的压缩处理。此病毒能够选择随机的文件名将自己复制到所有磁盘的根目录及KaZaA共享文件夹中。每到12月13日，它都将自动打开记事本文件并在窗口中显示信息。此病毒感染安装有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统的计算机，而不会感染安装有Windows 3.x, Microsoft IIS, Macintosh, OS/2, Unix, Linux操作系统的计算机。

病毒介绍

解决方案

病毒名称：W32.HLLW.Loxar

发现日期：2002-10-18

病毒类型：蠕虫病毒

传播范围：低

危害级别：中

传播速度：低

病毒介绍

1.此病毒企图终止许多反病毒及防火墙程序的进程。

2.此病毒通过KaZaA网络进行广泛的传播。

3.如果这个病毒是第一次被激活并开始运行，那么它将终止下列文件的进程：

Iamapp.exe

Iamserv.exe

Cfinet.exe

Aplica32.exe

Zonealarm.exe

Esafe.exe

Cfiadmin.exe

Cfiaudit.exe

Cfinet32.exe

Pcfwallicon.exe

Frw.exe

Vshwin32.exe

Vsecomr.exe

Webscanx.exe

Avconsol.exe

Vsstat.exe

Navapw32.exe

Navw32.exe

_Avpcc.exe

_Avpm.exe

Avp.exe

Lockdown2000.exe

Icload95.exe

Icmon.exe

Icsuppnt.exe

Icloadnt.exe

Tds2-98.exe

Tds2-Nt.exe

Tds2-Xp.exe

Safeweb.exe

Zapro.exe

Blackice.exe。

4.此病毒能够随机地以下列的文件名，将本身复制到C至Z盘的根目录下：

Xex0x.exe

Xer0x.exe

X3rox.exe

X3r0x.exe

Xerox com

Xer0x com

X3rox com

X3r0x com

X3xox.exe。

5.此病毒创建键值：

xerox

到注册表编辑器：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中,使得机器启动时病毒就会自动运行。

6.此病毒还能够创建注册表编辑器键：

HKEY_LOCAL_MACHINE\\SOFTWAR\\Xerox

并将创建键值：

Xeroxlocation，并将其指向病毒第一次运行的位置。

7.如果在计算机软驱中有软盘，此病毒会将本身复制到软盘的根目录下。如果区域日期样式设为 "dd/mm/yyyy"，那么在2002至2012年中每到12月13日，其就会打开记事本文件，并显示SYSTEM OWNED BY "tHE xEROx wORM"的信息。

8.此病毒能够搜寻C盘中的所有子文件夹，并且查找其中是否有Kazaa.exe文件，如果有的话，此病毒会将本身复制到\\My Shared Folder下，并且将其命名为：

XXX.exe

Gutter sluts.exe

Britney naked.exe

Buffy nude.exe

Sex sex sex.exe

Teen blow jobs.exe

Rapes video.mpeg.exe

Teen sex.mpeg.exe

9 naked girls.exe

FULL SEX MOVIES.mpeg.exe。

解决方案

1.及时升级杀毒软件，之后认真在整个硬盘上查杀此病毒，彻底清除掉查到的 W32.HLLW.Loxar蠕虫病毒。

2.到注册表编辑器:

（1）HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run中将键值：

xerox清除。

（2）将注册表键：HKEY_LOCAL_MACHINE\\SOFTWAR\\Xerox删除。