病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

该病毒是一个集黑客与蠕虫一体的综合性病毒。通过socket网络文件传输以及p2p软件KAZAA诱使用户下载进行传播；该病毒发作后，关闭用户的任务管理器以及注册表进程；该病毒会主动连接设定的IRC服务器，供黑客进行远程控制及文件下载；该病毒使用户的信息安全得不到保障，以及留下了被窥视的心理阴影，造成严重的物质与精神损失。中毒特征：注册表、任务管理器、msconfig.exe打开后，很快被关闭。

1,生成文件

%system%\\wuaghqr.exe

%system%\\kazaabackupfiles\\zoneallarm_pro_crack.exe

%system%\\kazaabackupfiles\\Porn.exe

%system%\\kazaabackupfiles\\AVP_Crack.exe

%system%\\keylog.txt

2,添加注册表

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Runonce

Winsocgfhk driver="wuaghqr.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

Winsocgfhk driver="wuaghqr.exe"

HKEY_CURRENT_USER\\Software\\KAZAA\\LocalContent

Dir0="012345:C:\\WINNT\\System32\\kazaabackupfiles\\"

3,关闭以下进程

NETSTAT.EXE

TASKMGR.EXE

MSCONFIG.EXE

REGEDIT.EXE

4，使用IRC命令

scan

redirect

CHAT

SEND

rename

get

killthread

sendkeys

killprocess

list

makedir

execute

delete

等

5，传播方式

p2p文件共享软件KAZAA，socket网络传播

6，主要危害

通过IRC服务器(聊天室)进行黑客攻击，盗取文件，密码，用户信息等。