W32.HLLW.Tufas蠕虫病毒是通过IRC进行广泛传播的，它可以允许黑客非法访问被病毒感染的计算机。此病毒是运用Borland Delphi语言编写的，并经过UPX的压缩处理，其经过解压后的大小为627,712字节。此病毒感染安装有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统的计算机，而不会感染安装有Macintosh, Unix, Linux操作系统的计算机。

病毒名称：W32.HLLW.Tufas

发现日期：2002-10-11

病毒类型：蠕虫病毒

传播范围：低

危害级别：低

传播速度：低

病毒介绍：

1.降低安全设置：允许黑客非法访问被病毒感染的计算机。

2.此病毒会将自己发送给指定的IRC服务器，并也同时将本身发送给与IRC服务器相连接的所有IRC用户。

3.此病毒一旦被激活并开始运行，它会将自己复制到C:\\%windir%，并随机选取病毒名，属性是隐蔽的。

其中：%windir%是变化的，此木马病毒会自动寻找机器上的系统目录，并将自身复制到系统目录下，默认的是C:\\Windows或C:\\Winnt。

4.此病毒会将自己所生成的新文件添加到注册表编辑器：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中,使得机器启动时病毒就会自动运行。

例如：此病毒会将其本身复制到C:\\Windows\\LchjmYFdlb.exe中，其就会添加键值：

__LchjmYFdlb C:\\Windows\\LchjmYFdlb.exe

到注册表编辑器：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中,使得机器启动时病毒就会自动运行。

5.此病毒会创造键值：

BehindProxy 1

DisableSharing 0

KaZaARegKey <the dropped file name in C:\\%Windir% folder>

到注册表编辑器：

HKEY_CURRENT_USER\\Software\\KAZAA\\LocalContent中。

6.此病毒能够终止如下各反病毒程序的正常运行：

_AVP32

_AVPCC

_AVPM

ALERTSVC

_AMON

AVP32

AVPCC

AVPM

N32SCANW

NAVAPSVC

NAVAPW32

NAVLU32

NAVRUNR

NAVW32

NAVWNT

NOD32

NPSSVC

NRESQ32

NSCHED32

NSCHEDNT

NSPLUGIN

SCAN

SMSS。

7.此病毒能够打开TCP的4500端口，并且也能够打开一些随机的TCP/UDP端口。

8.此病毒会在注册表查看键值KaZaARegKey和BehindProxy in是否存在，如果这两个键值都不存在的话，那么它在屏幕上将显示如下的假信息：

如果点击了“scan now”按钮后，会在屏幕上显示如下的假信息：

如果点击“OK”后，此病毒将重新启动计算机。

解决方案：

1.及时升级杀毒软件，之后认真在整个硬盘上查杀此病毒，彻底清除掉查到的W32.HLLW.Tufas蠕虫病毒。

2.到注册表编辑器:

（1）HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run中，将此病毒随机生成的注册表键值清除。

（2）HKEY_CURRENT_USER\\Software\\KAZAA\\LocalContent中将键值：

BehindProxy 1

DisableSharing 0

KaZaARegKey <the dropped file name in C:\\%Windir% folder>清除。