病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个感染型蠕虫病毒。该病毒关闭一些杀毒软件和防火墙。然后扫描磁盘文件并感染可执行文件，造成硬盘指示灯狂闪，机子速度变慢的现象，由于频繁读写文件会使硬盘寿命减少。除此之外，该病毒从网上下载另一病毒，win32.Troj.Delf.fn.149836木马，该木马盗取各种密码，并打开后门，供别人盗取文件。该病毒通过弱口令进行传播，建议用户将计算机密码设长一点、复杂一点。

1，释放文件：

%SystemRoot%\\Logo1_.exe。

%病毒目录%\\virDll.dll，并注入explorer.exe进程。

2，下载木马

virDll.dll下载http://*********.net/**/1.exe（win32.Troj.Delf.fn.149836）到当前目录并执行。

3，感染文件

感染大小小于10M的*.exe可执行文件。

被感染文件执行后，在%Temp%生成bat文件和tmp文件（如$$a3.bat和$$a3.tmp），执行bat文件删除病毒自己，还原可执行文件。

4，不感染的文件夹：

system

system32

windows

Documents and Settings

System Volume Information

Recycled

winnt

\\Program Files\\

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

ComPlus Applications

NetMeeting

Common Files

Messenger

Microsoft Office

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gaming Zone

5，添加注册表

HKLM\\Software\\soft\\DownloadWWW\\

"auto"="1" （VirDll.dll释放注入标志）

6，关闭下列进程

RavMon.exe

天网防火墙个人版

天网防火墙企业版

噬菌体

TfLockDownMain(窗体类名)

ZoneAlarm

eghost.exe

mailmon.exe

KAVPFW.EXE

KWatchUI.exe

IPARMOR.EXE

7，卸载软件

密码防盗专家

8，关闭服务

Kingsoft Antivirus Service

9，传播方式

ipc$,admin$共享服务，弱口令连接传播病毒。