该病毒属蠕虫类病毒，主要通过p2p软件传播，如：Grokster、BearShare、Kazaa等，病毒运行后复制原病毒文件到%windir%下，病毒通过修改并查找注册表文件，达到将原病毒副本添加到启动项并查找出以安装的p2p软件，从而复制原病毒副本到p2p软件目录下，尝试传播。病毒也会通过遍历系统中某些目录，并尝试复制原病毒副本到这些目录中。病毒运行后还会遍历系统当前进程，尝试终止某些反病毒及安全软件的进程，并搜索注册表文件，删除其中某些反病毒及安全软件的键值。

外文名：P2P-Worm.Win32.Niklas.y

公开范围：完全公开

文件长度：12,288 字节

感染系统：Windows 98 及以上版本

开发工具：Borland Delphi 6.0 - 7.0

病毒简介

行为分析

清除方案

病毒简介

文件 MD5： 79F9937933F4362783B9FB90129AA281

公开范围： 完全公开

危害等级： 中

文件长度： 12,288 字节

感染系统： Windows 98 及以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： UPX

命名对照： Symentec[W32.HLLW.Niklas]

Mcafee[无]

行为分析

1、复制原病毒体到：

%windir%\\melis.exe

%windir%\az.scr

%windir%\\temp\\project32\\<random>.exe

2、对注册表文件进行新建、查找、删除操作：

新建如下键值：

HKEY_LOCAL_METHINE\\SOFTWARE\\Microsoft

\\Windows\\CurrentVersion\\Run

键值：字串：MELIS = "%Windir%\\melis.exe”

HKEY_CURRENT_USER\\Software\\Kazaa\\LocalContent\\

键值：字串：DisableSharing" = "0"

查找以下p2p软件的相关键值，若存在则复制原病毒体到这个文件夹内，等待传播：

HKEY_CURRENT_USER\\Software\\Kazaa\\Transfer\\DlDir0

HKEY_CURRENT_USER\\Software\\Kazaa\\LocalContent

\\DownloadDir

HKEY_CURRENT_USER\\Software\\iMesh\\Client

\\LocalContent\\DownloadDir

HKEY_CURRENT_USER\\Software\\Shareaza\\Shareaza

\\Transfers\\DownloadsPath

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer

\\Download Directory

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\Shell Folders\\Personal

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion

\\Explorer\\Shell Folders\\Desktop

HKEY_LOCAL_METHINE\\SOFTWARE\\LimeWire\\InstallDir

HKEY_LOCAL_METHINE\\Software\\Mirabilis\\ICQ

\\DefaultPrefs\\Receive Path

删除某些反病毒及安全软件相应的注册表键值：

注册表项：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\Run

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows

\\CurrentVersion\\RunServices

键值：

AVPCC

AVPCC Service

BlackIce Utility

F-StopW

McAfee Firewall

McAfee Winguage

McAfee.InstantUpdate.Monitor

McAfeeVirusScanService

McAfeeWebscanX

McAgentExe

McUpdateExe

NAV Agent

NAV Configuration Wizard

NAV DefAlert

NB Common Dialog Enhancements

NB Start Menu

……

3、遍历以下目录，并尝试复制原病毒体到该目录中：

%ProgramFiles%\\Grokster\\My Grokster

%ProgramFiles%\\WinMX\\My Shared Folder

%ProgramFiles%\\ICQ\\Shared Files

%ProgramFiles%\\Kazaa Lite\\My Shared Folder

%ProgramFiles%\\KMD\\My Shared Folder

%ProgramFiles%\\LimeWire\\Shared

%ProgramFiles%\\BearShare\\Shared

%ProgramFiles%\\Rapigator\\Share

%ProgramFiles%\\mIRC\\Download

……

4、病毒运行后还会遍历系统当前进程，尝试终止某些反病毒及安全软件的进程：

AVSCHED32.EXE

AVWIN95.EXE

AVWUPD32.EXE

BLACKD.EXE

BLACKICE.EXE

CFIADMIN.EXE

CFIAUDIT.EXE

CFINET.EXE

CFINET32.EXE

CLAW95.EXE

LOCKDOWN2000.EXE

LOOKOUT.EXE

LUALL.EXE

MOOLIVE.EXE

MPFTRAY.EXE

N32SCANW.EXE

……

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32，windows95/98/me中默认的安装路径是C:\\Windows\\System，windowsXP中默认的安装路径是C:\\Windows\\System32。

清除方案

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程

(2) 删除病毒文件

%windir%\\melis.exe

%windir%\az.scr

%windir%\\temp\\project32\\<random>.exe

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_METHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

键值：字串：MELIS = "%Windir%\\melis.exe”