病毒别名：Worm.Win32.Breaker.a[avp]

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

该病毒是一个蠕虫病毒，通过邮件传播，把自己附加在邮件后面，用户感染病毒后会打开一个网页

指向http://www.****ks.am/d.x?***38，修改启动项，来达到每次开机启动自己的目的，还会破坏自己的系统文件，如注册表，任务管理器，cmd

同时弹出一个对话框

1。修改注册表启动项

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run hrvkk "C:\\WINNT\\Tasks\\gyggl.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run rpcfp "C:\\WINNT\\Fonts\\gyggl.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run gyggl "C:\\WINNT\\system\\gyggl.exe"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run jlqbh "C:\\WINNT\\system32\\gyggl.exe"

HKEY_USERS\\S-1-5-21-515967899-57989841-839522115-500\\Software\\Microsoft\\Windows\\CurrentVersion\\Run hrvkk "C:\\WINNT\\Tasks\\gyggl.exe"

HKEY_USERS\\S-1-5-21-515967899-57989841-839522115-500\\Software\\Microsoft\\Windows\\CurrentVersion\\Run rpcfp "C:\\WINNT\\Fonts\\gyggl.exe"

2。拷贝自己到以下目录

%systemroot%\\command.com

%systemroot%\\wupdmgr.exe

%systemroot%\\Fonts\\gyggl.exe

%systemroot%\\Tasks\\gyggl.exe

%system%\\gyggl.exe

%system%\\msconfig.exe

%system%\\systray.exe

%system32%\\gyggl.exe

3。创建邮件文件

%systemroot%\\Tasks\\ma1.tmp

%systemroot%\\Tasks\\codm

3。把以下系统文件替换为病毒文件

%systemroot%\\regedit.exe

%system32%\\cmd.exe

%system32%\\regedt32.exe

%system32%\\taskmgr.exe

%system32%\\wupdmgr.exe

%system32%\\dllcache\\cmd.exe

%system32%\\dllcache\\regedit.exe

%system32%\\dllcache\\regedt32.exe

%system32%\\dllcache\\taskmgr.exe

%system32%\\dllcache\\wupdmgr.exe