“愛情森林”病毒

該木馬程序原始文件名為hack.exe，用Delphi編寫，並用UPX進行了壓縮。木馬程序被運行後會：

1、複製自身到Windows操作系統的system目錄（通常為windowssystem）下，並改名為Explorer.exe.由於它和Windows目錄下的Explorer文件同名，因此會迷惑用户，使用户誤認為這是一個正常的系統文件。

2、修改註冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer.exe"，使木馬程序可以在開機後自動運行。（其中%windowssystem%為Windows的系統目錄）

3、該木馬程序還會在站點http://orchid.diy.163.com/下載文件update.exe，並執行下載下來的程序，進行其它的破壞活動。

（1）先打開任務管理器，結束掉位於下面的那個Explorer進程，然後刪除系統目錄下的木馬程序Explorer.exe.或者重新啓動到DOS下到system目錄直接刪除該木馬程序。

（2）打開註冊表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。

1、複製兩個自己的拷貝到Windows的系統目錄（Win9x通常為Windowssystem，WinNt通常為WinNtsystem32）下，並分別更名為rundll.exe和sysedit32.exe.

2、修改註冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe"，使木馬程序在開機後自動運行（其中%windowssystem%為Windows的系統目錄）。

3、修改註冊表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe，關聯記事本，使用户打開txt文件時木馬程序能獲得運行機會。

4、該木馬會通過QQ程序向其它的QQ用户發送“http://sckiss.yeah.net，你快去看看”的消息，誘導用户瀏覽含有惡意代碼的網頁。

5、該木馬還會嘗試盜取QQ用户的密碼並將其發送至指定的郵箱。有趣的是，由於病毒作者使用了一個組件來發送郵件，因此當木馬程序執行發送郵件的操作時，該組件可能會彈出兩個對話框，其中一個的內容為“220 welcom to coremail system（With Anti-Spam） 2.1”，另外一個對話框為“Cannot open file .mima.txt”。

（1）打開任務管理器，結束掉RUNDLL和SYSEDIT32進程。

（2）刪除系統文件夾（Win9x通常為Windowssystem，WinNt通常為WinNtsystem32）下名為RUNDLL.exe和sysedit32.exe的文件（文件大小為1781752字節）。

（3）打開註冊表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.exe\”的鍵值。恢復HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為Notepad %1.（其中%windowssystem%為Windows的系統文件夾）

（4）若根目錄下存在文件setup.txt或mima.txt，將其刪除。