病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

该病毒通过QQ进行传播。病毒运行后会阻止金山毒霸、天网、3721AntiTrojan等多种安全软件。病毒还会修改浏览器的默认首页为www.joy***.com。病毒会添加多个启动项、修改程序关联。用户一旦染毒，手动清除比较麻烦。

1、病毒将自身复制到以下位置：

%systemRoot%\\SVOHOST.EXE

%System%\\commamd.exe

%System%\\he1p.exe(1为数字1，不是字母L)

%System%\\lsasa.exe

2、添加注册项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"ctfnom.exe" ="%systemRoot%\\SVOHOST.EXE"

以保证开机时能够运行病毒

3、修改注册项

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

"Shell" = "Explorer.exe commamd.exe"

以保证开机时能够运行病毒

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main

"Start Page" = "http://www.joy**.com"

修改用户浏览器首页，并禁止用户修改主页内容

HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command

默认 = %System%\\he1p.exe "%1" %*

修改EXE关联，使得每运行一个可执行文件，病毒都会运行

4、创建以下互斥量，以阻止安全软件运行

KingsoftAntivirusScanProgram7Mutex

SKYNET_PERSONAL_FIREWALL

ASSISTSHELLMUTEX

AntiTrojan3721

5、关闭含有以下字符的窗口

QQKav

绿鹰PC

防火墙

网镖

杀毒

QQAV

病毒

木马

进程

注册表

Windows 任务管理器

6、通过QQ传送有病毒体，并且发送以下信息以迷惑用户：

快接啊,才找到的,经典啊

接收,是我发的文件,放心不是病毒

别人刚传给我的,真的很不错

快接收啊,好东西

你朋友叫我给你的,快点接收啊

你上次问我要的东西,还要不要了

这个动画短片真的很不错,你看看

看看录像里的人是谁,你肯定大吃一惊

不接你要后悔的,绝对是精品

快收,很精彩的片段