病毒别名：

处理时间：2005-09-27

威胁级别：★

中文名称：

病毒类型：蠕虫

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个通过qq传播的蠕虫病毒．

该病毒能修改ie默认主页；修改注册表达到自启动；关闭大量安全软件；禁用任务管理器，注册表编辑器等常用程序；自动查找正在与用户聊天的qq窗口，然后发送一些信息和网址，如果对方打开这些网站，机器就会中毒．

中毒后有一个特点：．如果打开＂聊天记录＂，会发现自己的qq给好友发送了很多非自己输入的信息．用户要提高警惕了．

1,释放文件到以下目录:

%windows%\\OSRSS.exe

%system32%\\CONIEM.exe

2,增加注册表项:

HKLM\\software\\microsoft\\windows\\currentversion\\explorer\\advanced\\folder\\hidden\\showall\\

"CheckedValue" = "0"

达到隐藏文件的目的．

HKCR\\txtfile\\shell\\open\\command\\

"Default" = "C:\\WINNT\\System32\\CONIEM.exe "%1""

关联txt文件，使用户每次打开txt文件的时候，病毒会自动运行

HKCU\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\

"HomePage" = "1"

禁止更改主页，即“主页”变灰

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\system\\

"DisableTaskMgr" = "1"

禁止打开任务管理器

HKCU\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\

"ctfnom.exe" = "C:\\WINNT\\OSRSS.exe"

达到自启动的目的

3,修改ie主页为下列之一：

http://www.joyiex.com/

http://www.cd321.com/gm.htm

4,关闭下列进程:

QQKav

绿鹰PC

防火墙

网镖

木马克星

QQAV

上网助手

反间谍专家

等等

5,自动查找与用户聊天的qq好友，发送以下信息过去：

发现一个可以真正免费下载手机彩铃网站http://play.joyiex.com/love.htm

网络游戏刷点卡教程,以后在也不用买点卡了http://play.joyiex.com/520.exe

QQ又出新漏洞啦,可以马上拥有所有业务,教程下载http://play.joyiex.com/girl.exe