“愛情森林”病毒

該木馬程式原始檔案名稱為hack.exe，用Delphi編寫，並用UPX進行了壓縮。木馬程式被運行後會：

1、複製自身到Windows作業系統的system目錄（通常為windowssystem）下，並改名為Explorer.exe.由於它和Windows目錄下的Explorer檔案同名，因此會迷惑用戶，使用戶誤認為這是一個正常的系統檔案。

2、修改註冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer.exe"，使木馬程式可以在開機後自動運行。（其中%windowssystem%為Windows的系統目錄）

3、該木馬程式還會在站點http://orchid.diy.163.com/下載檔案update.exe，並執行下載下來的程式，進行其它的破壞活動。

（1）先打開任務管理器，結束掉位於下面的那個Explorer進程，然後刪除系統目錄下的木馬程式Explorer.exe.或者重新啟動到DOS下到system目錄直接刪除該木馬程式。

（2）打開註冊表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。

1、複製兩個自己的拷貝到Windows的系統目錄（Win9x通常為Windowssystem，WinNt通常為WinNtsystem32）下，並分別更名為rundll.exe和sysedit32.exe.

2、修改註冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe"，使木馬程式在開機後自動運行（其中%windowssystem%為Windows的系統目錄）。

3、修改註冊表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe，關聯記事本，使用戶打開txt檔案時木馬程式能獲得運行機會。

4、該木馬會通過QQ程式向其它的QQ用戶傳送“http://sckiss.yeah.net，你快去看看”的訊息，誘導用戶瀏覽含有惡意代碼的網頁。

5、該木馬還會嘗試盜取QQ用戶的密碼並將其傳送至指定的信箱。有趣的是，由於病毒作者使用了一個組件來傳送郵件，因此當木馬程式執行傳送郵件的操作時，該組件可能會彈出兩個對話框，其中一個的內容為“220 welcom to coremail system（With Anti-Spam） 2.1”，另外一個對話框為“Cannot open file .mima.txt”。

（1）打開任務管理器，結束掉RUNDLL和SYSEDIT32進程。

（2）刪除系統資料夾（Win9x通常為Windowssystem，WinNt通常為WinNtsystem32）下名為RUNDLL.exe和sysedit32.exe的檔案（檔案大小為1781752位元組）。

（3）打開註冊表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.exe\"的鍵值。恢復HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為Notepad %1.（其中%windowssystem%為Windows的系統資料夾）

（4）若根目錄下存在檔案setup.txt或mima.txt，將其刪除。