病毒别名： 处理时间：2006-12-06 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是个下载器，会从网上下载一个灰鸽子受控端到用户的计算机并安装，从而使用户计算机被控制。

1、从网上下载一个灰鸽子服务端到临时文件夹：Temp\\HEART.exe，并执行。

2、该临时文件将自身复制为：%Program Files%\\Common Files\\Microsoft Shared\\MSINFO\\Server4.exe，然后自删除。

3、该灰鸽子服务端会创建一个服务

服务名：Windows_rejoice

描述 ： 提供病毒扫描服务

服务进程：%Program Files%\\Common Files\\Microsoft Shared\\MSINFO\\Server4.exe

相应的注册表项如下：

HKLM\\System\\CurrentControlSet\\Services\\virusscan\\Type SUCCESS 0x110

HKLM\\System\\CurrentControlSet\\Services\\virusscan\\Start 0x2

HKLM\\System\\CurrentControlSet\\Services\\virusscan\\ErrorControl 0x0

HKLM\\System\\CurrentControlSet\\Services\\virusscan\\ImagePath "C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\Server4.exe"

HKLM\\System\\CurrentControlSet\\Services\\virusscan\\DisplayName "Windows_rejoice"

HKLM\\System\\CurrentControlSet\\Services\\virusscan\\Security\\Security 01 00 14 80 90 00 00 00 ...

HKLM\\System\\CurrentControlSet\\Services\\virusscan\\ObjectName "LocalSystem"

HKLM\\System\\CurrentControlSet\\Services\\virusscan Key: 0xE1B02A98

HKLM\\System\\CurrentControlSet\\Services\\virusscan\\Description "提供病毒扫描服务"