病毒名称：W32.HLLW.Walrain

发现日期：2002-09-03

病毒类型：蠕虫病毒

传播范围：低

危害级别：中

传播速度：低

病毒介绍：

W32.HLLW.Walrain是一个能够通过KaZaA和iMesh共享文件夹来进行传播的蠕虫病毒。此病毒伪装成色情书刊的相关程序，欺骗读者下载并打开它。此病毒是运用Microsoft Visual Basic编程语言编写的，并使用ASPack压缩软件进行了压缩处理。此病毒感染安装有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统的计算机，而不会感染安装有Windows 3.x, Macintosh, Unix, Linux操作系统的计算机。

1.W32.HLLW.Walrain蠕虫病毒能够复制本身到KaZaA和iMesh共享文件夹中，并通过此共享文件夹进行传播感染。

2.此病毒如果一旦被激活并开始运行，它首先将在屏幕上显示黄色图片，并将其复制到%windir%\\Rain.exe下，即：

C:\\Windows\\Rain.exe

C:\\Winnt\\Rain.exe。

3.它也能够产生一个%windir%\\Shared\\文件夹，使所有使用KaZaA和iMesh的用户能够下载并使用%windir%\\Shared\\文件夹中的内容。

4.此病毒也能够生成多个键值到注册表编辑器中：

（1）键值： ShareDir %windir%\\Shared

注册表编辑器：HKEY_CURRENT_USER\\Software\\Kazaa\\CloudLoad

（2）键值： Dir0 %windir%\\Shared

Dir1 %windir%\\Shared

Dir2 012345:%windir%\\Shared

注册表编辑器：HKEY_CURRENT_USER\\Software\\Kazaa\\LocalContent

（3）键值： DlDir0 012345:%windir%\\Shared

DlDir1 012345:%windir%\\Shared

DlDir99 012345:%windir%\\Shared

注册表编辑器：HKEY_CURRENT_USER\\Software\\Kazaa\\Transfer

（4）键值： Dir1 012345:%windir%\\Shared

注册表编辑器：HKEY_CURRENT_USER\\Software\\iMesh\\Client\\LocalContent。

解决方案：

1.及时升级杀毒软件，之后认真在整个硬盘上查杀此病毒，彻底清除掉查到的W32.HLLW.Walrain蠕虫病毒。

2.到下述注册表编辑器中将键值清除:

（1)注册表编辑器：HKEY_CURRENT_USER\\Software\\Kazaa\\CloudLoad

键值：ShareDir %windir%\\Shared

（2）注册表编辑器：HKEY_CURRENT_USER\\Software\\Kazaa\\LocalContent

键值：Dir0 %windir%\\Shared

Dir1 %windir%\\Shared

Dir2 012345:%windir%\\Shared

（3）注册表编辑器：HKEY_CURRENT_USER\\Software\\Kazaa\\Transfer

键值：DlDir0 012345:%windir%\\Shared

DlDir1 012345:%windir%\\Shared

DlDir99 012345:%windir%\\Shared

（4）注册表编辑器：HKEY_CURRENT_USER\\Software\\iMesh\\Client\\LocalContent

键值： Dir1 012345:%windir%\\Shared。