病毒别名：W32.Shelp(symantec.)

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个蠕虫病毒，它利用操作系统漏洞运行加载程序，然后从网上下载其

它病毒文件，并开启新的病毒进程，被开启的病毒进程在网络上进行传播。

1. 当病毒程序加载程序load.exe(5,120)运行后，它将从IP

地址***.***.***.163下载svchost.exe(26,112)，然后复

制成%System%\\explorer.exe文件。

2. 建立新的注册表项及键值：

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\MSHELP

PID = 0x00000001

3. 添加启动项注册表键值

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

explorer = "%System%\\explorer.exe"

4. 开启病毒进程%System%\\explorer.exe

5. 生成load.bat文件，并运行这个批处理文件将load.exe、批处理

文件本身删除。

6. 被开启的病毒进程不断访问网络，实现传播。