病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

该病毒是一个通过p2p软件传播的蠕虫病毒，它的副本病毒名是随机生成的，一般冒充反病毒或或破解软件，诱使用户下载并运行。该病毒会加载启动项，使每次开机自动运行。该病毒运行时，不断查找c盘p2p软件的共享文件夹（由于通过字符串匹配查找，有时也在正常文件夹中。呵呵，真麻烦），找到则不断复制自身到此文件夹中，供别人下载。由于大量占用了系统资源，使用户感到计算机运行非常缓慢，硬盘空间大量减少。给用户正常的生活、工作、游戏造成极坏的影响。

1，生成文件

%system%\\fLock.clk。

%system%\\*.*（随机文件，如wxANAB9L.cpl，后缀为exe,com,pif,cpl中一种）。

其它c盘下乱七八糟副本一大堆。

2，修改注册表

HKLM\\Software\\Microsoft\\windows\\CurrentVersion\\RunServices

"%system%\\os2\\dll: 随机生成的串" = "%system%\\病毒名（上面生成的随机文件名）"。

3，病毒行为

在c盘下查找包含字符串"share"的文件夹，找到则大量复制自身副本，随机拼凑命名为windows firewall.exe等等。

4，注册表项名称组合

%system%\\os2\\dll: + 第一串 + 第二串

第一串为：

Norton

Windows

Trend Micro

Symantec

Panda

Government

Microsoft

Giant

McCaffee

Firewall

AntiVirus

Virus Protection

AntiHack

AutoUpdate

Infection Tracker

AntiSpyware

第二串为：

Service

Process

Manager

Task

Server

5，共享文件夹中病毒副本命名组合

第一串 + 第二串 + [第三串] + 后缀 （第三串不一定会有）。

第一串[1]

Windows

Microsoft

Norton

Symantec

第二串[1]

Firewall

AntiVirus

Virus Protection

谝淮