病毒别名：IM-Worm.Win32.Aimes.b[AVP]

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个通过AIM传播的蠕虫病毒。该病毒会在特定目录下寻找AIM并运行，然后给AIM好友发送信息：“Hey I went to a wild party last

week! checkout the pics!!!!”，并发送文件文件C:\\party!!.pif，以此进行传播。病毒还修改注册表禁止任务管理器和注册表编辑器，尝试调用TaskKill关闭某些系统进程，并对某个网站发动攻击。

1.释放文件。

将自己复制为以下文件：

C:\\Windows\\sys32dll.exe

C:\\party!!.pif

2.修改注册。

修改添加注册表键值：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\sys32dll

"<病毒全路径>C:\\Windows\\sys32dll.exe"

HKEY_LOCAL_MACHINE\\Software\\Policies\\Microsoft\\Windows\\WindowsUpdate\\AU\\

"NoAutoUpdate"=dword:0x1

HKEY_CURRENT_USER\\Software\\Microsoft\\security center\\

"FirewallDisableNotify"=dword:0x1

HKEY_CURRENT_USER\\Software\\Microsoft\\security center\\

"UpdatesDisableNotify"=dword:0x1

HKEY_CURRENT_USER\\Software\\Microsoft\\security center\\

"AntiVirusDisableNotify"=dword:0x1

HKLM\\Software\\Microsoft\\security center\\

"FirewallDisableNotify"=dword:0x1

HKLM\\Software\\Microsoft\\security center\\

"UpdatesDisableNotify"=dword:0x1

HKLM\\Software\\Microsoft\\security center\\

"AntiVirusDisableNotify"=dword:0x1

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\

"DisableTaskMgr"=dword:0x1

"DisableRegistryTools"=dword:0x1

删除注册表键值：

HKLM\\software\\Microsoft\\windows\\currentversion\\run

"windows auto update.exe"

3.终止系统进程（Win XP以上系统）：

TASKKILL /T /F /IM SVCHOST.exe

TASKKILL /F /IM LSASS.exe

4.并对某个网站发动攻击。

5.尝试运行AIM：

C:\\Program Files\\AIM\\aim.exe

C:\\Program Files\\AIM95\\aim.exe

C:\\Program Files\\AIM\\aim.exe

C:\\Program Files\\AIM95\\aim.exe

给AIM好友发送信息：“Hey I went to a wild party last week! checkout the pics!!!!”，并发送文件文件C:\\party!!.pif，以此进行传播。