愛情森林病毒

該病毒會從指定站點下載檔案（update.exe），並執行程式，進行其它的破壞活動。先打開任務管理器，結束（Explorer進程），

病毒修改註冊表（HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun）添加鍵值（Explorer="%windowssystem%Explorer.exe"）開機自動運行。惡意網頁利用JAVAEXPLOIT漏洞，不經用戶允許即可以自動下載病毒並執行，修改用戶的註冊表及IE配置。利用了著名的Iframe漏洞自動運行。

病毒自身複製後拷貝到Windows目錄下，並分別命名為（winupdate.exe、winver.exe）。 生成一個名為hosts的檔案，用戶系統為Win9x，該檔案會複製到windows目錄下，若用戶的系統為WinNt，則會複製到 （WinNt/system32/driversetchosts下），代替IE的部分域名解析。當用戶在IE瀏覽器中輸入網址時，就會進入所指定的網頁。
修改註冊表，使HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為"%windows%winver.exe %windows%NOTEPAD.EXE %1"，關聯記事本，當用戶打開（txt）檔案病毒自動運行，使 HKEY_CLASSES_ROOTexefileshellopencommand的默認鍵值為（%windows%winupdate.exe %1 %*），執行（exe）檔案自動運行。

病毒利用QQ程式向其它的QQ用戶傳送訊息。

“愛情森林”病毒通過QQ傳送信息之後，便開始進行本機的感染。病毒首先改名為：（EXPLORER.EXE），然後將之拷貝到WINDOWS的系統目錄 （SYSTEM或SYSTEM32）下，修改註冊表，在RUN的自啟動項中建立一個EXPLORER的鍵值，將病毒路徑加入其中，計算機重啟，病毒便可自動運行。

任務管理器結束Explorer進程，刪除系統目錄下的木馬程式Explorer.exe。重新啟動到DOS下到system目錄刪除該木馬程式。

註冊表編輯器刪除（HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run）下名為Explorer的鍵值。

刪除系統資料夾（Win9x通常為Windowssystem，WinNt通常為WinNtsystem32）下名為RUNDLL.exe和sysedit32.exe的檔案（檔案大小為1781752位元組）。