愛情森林病毒

該病毒會從指定站點下載文件（update.exe），並執行程序，進行其它的破壞活動。先打開任務管理器，結束（Explorer進程），

病毒修改註冊表（HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun）添加鍵值（Explorer="%windowssystem%Explorer.exe"）開機自動運行。惡意網頁利用JAVAEXPLOIT漏洞，不經用户允許即可以自動下載病毒並執行，修改用户的註冊表及IE配置。利用了著名的Iframe漏洞自動運行。 ^[3] 

病毒自身複製後拷貝到Windows目錄下，並分別命名為（winupdate.exe、winver.exe）。 生成一個名為hosts的文件，用户系統為Win9x，該文件會複製到windows目錄下，若用户的系統為WinNt，則會複製到 （WinNt/system32/driversetchosts下），代替IE的部分域名解析。當用户在IE瀏覽器中輸入網址時，就會進入所指定的網頁。

修改註冊表，使HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為"%windows%winver.exe %windows%NOTEPAD.EXE %1"，關聯記事本，當用户打開（txt）文件病毒自動運行，使 HKEY_CLASSES_ROOTexefileshellopencommand的默認鍵值為（%windows%winupdate.exe %1 %*），執行（exe）文件自動運行。

病毒利用QQ程序向其它的QQ用户發送消息。 ^{[1]  [4]} 

“愛情森林”病毒通過QQ發送信息之後，便開始進行本機的感染。病毒首先改名為：（EXPLORER.EXE），然後將之拷貝到WINDOWS的系統目錄 （SYSTEM或SYSTEM32）下，修改註冊表，在RUN的自啓動項中建立一個EXPLORER的鍵值，將病毒路徑加入其中，計算機重啓，病毒便可自動運行。 ^[5] 

任務管理器結束Explorer進程，刪除系統目錄下的木馬程序Explorer.exe。重新啓動到DOS下到system目錄刪除該木馬程序。

註冊表編輯器刪除（HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run）下名為Explorer的鍵值。

刪除系統文件夾（Win9x通常為Windowssystem，WinNt通常為WinNtsystem32）下名為RUNDLL.exe和sysedit32.exe的文件（文件大小為1781752字節）。 ^{[3]  [6]}