病毒别名：Worm.Win32.Dedler.p[AVP]

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：WinNT

病毒行为:

这是一个蠕虫病毒。该病毒会创建一项nwclntserv，对服务的描述是"Network Client-Server"，服务通过该服务实现开机运行病毒程序。它会清除该类病毒以前版本在注册表留下的某些启动项，以更好的隐藏自己。它运行后主动连接ICQ服务器，自动登陆。然后通过ICQ进行传播。

1.复制自己到如下目录：

%System%\\srvss.exe

2.修改注册表：

添加：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\wclntserv

"Type"=dword:00000010

"Start"=dword:00000002

"ErrorControl"=dword:00000001

"ImagePath"="%System%\\srvss.exe"

"DisplayName"="Network Client-Server"

"ObjectName"="LocalSystem"

"Description"="Creates and maintains client network connections to remote servers. If this service is stopped, these connections will be unavailable. If this service is disabled, any services that explicitly depend on it will fail to start."

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\wclntserv\\Security

"Security"="<系统相关>"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\wclntserv\\Enum

"0"="Root\\\\LEGACY_NWCLNTSERV\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_NWCLNTSERV

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_NWCLNTSERV\\0000

"Service"="nwclntserv"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"="<系统相关>"

"DeviceDesc"="Network Client-Server"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_NWCLNTSERV\\0000\\Control

"*NewlyCreated*"=dword:00000000

"ActiveService"="nwclntserv"

删除以下启动项：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

或者

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下面的：

"OfficeGuardUI"

"SoundControl"

"MicrosoftOEM"

"ActiveXUpdate"

3.创建自启动服务nwclntserv，服务程序为%System%\\srvss.exe.

4.病毒将经由TCP端口5190连接ICQ服务器，并通过ICQ来接收下列命令：

启动/关闭/下载更新病毒程序

执行命令

盗取计算机信息等。

5.病毒将向打开的网络共享目录下写入病毒文件。