基本介紹
- 中文名:W32.HLLW.Merkur@mm
- 發現日期 : 2002-10-23
- 病毒類型 : 蠕蟲病毒
- 傳播範圍 : 低
病毒介紹,解決方案,
病毒介紹
病毒名稱:W32.HLLW.Merkur@mm
危害級別:中
傳播速度:低
病毒介紹:
W32.HLLW.Merkur@mm蠕蟲病毒是通過Microsoft Outlook進行傳播的郵件蠕蟲病毒,此病毒能夠將本身傳送給Microsoft Outlook地址簿中的所有聯繫人,同時此病毒也會通過KaZaA和mIRC等進行廣泛地傳播。此病毒感染安裝有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me作業系統的計算機,而不會感染安裝有Macintosh, OS/2, Unix, Linux作業系統的計算機。
1.此病毒是通過VB編寫的。
2.此病毒傳送的電子郵件中:
郵件題目:Update your Anti-virus Software
附屬檔案名稱:Taskman.exe
附屬檔案大小:45,056位元組。
3.此病毒一旦被激活並開始運行,它將本身複製到:
C:\Autoexec.exe
C:\Windows\Screensaver.exe
C:\Windows\System\Avupdate.exe
C:\Program Files\Uninstall.exe
C:\Program Files\Kazaa\My Shared Folder\Ipspoofer.exe
C:\Program Files\Kazaa\My Shared Folder\Virtual Sex Simulator.exe
C:\Program Files\Bearshare\Shared\Ipspoofer.exe
C:\Program Files\Bearshare\Shared\Virtual Sex Simulator.exe
C:\Program Files\Edonkey2000\Incoming\Ipspoofer.exe
C:\Program Files\Edonkey2000\Incoming\Virtual Sex Simulator.exe。
4.此病毒複製本身到KaZaA網路已分享檔案夾中,並覆蓋下列兩個檔案:
C:\Windows\Taskman.exe
C:\Windows\Notepad.exe。
5.此病毒能夠創建批處理檔案C:\Pr0n.bat,並且能夠刪除在下列資料夾中的以.jpg、.mpg、.bmp、.avi結尾的檔案,即:
C:\Program Files\Kazaa\My Shared Folder
C:\Program Files\Bearshare\Shared
C:\Program Files\eDonkey2000\Incoming。
6.此病毒能夠生成鍵值:
AVupdate C:\Windows\System\AVupdate.exe
到註冊表編輯器:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中,使得機器啟動時病毒就會自動運行。
7.如果C:\mIRC或C:\Program Files\mIRC資料夾存在的話,此病毒將創建mIRC腳本檔案Script.ini,傳送其本身到mIRC使用者,並通過mIRC傳播感染其它的計算機。
8.此病毒能夠將本身傳送給Microsoft Outlook地址簿中的所有聯繫人,其中電子郵件具有以下特徵:
郵件題目:Update your Anti-virus Software
郵件正文:Here is a patch for your AV software, it will cover all the latest out breaks of worms ect (worms as in virus not earth worms! lol)
附屬檔案名稱:Taskman.exe。
解決方案
1.及時升級防毒軟體,之後認真在整個硬碟上查殺此病毒,徹底清除掉查到的W32.HLLW.Merkur@mm蠕蟲病毒。
2.到註冊表編輯器:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中將鍵值:
AVupdate C:\Windows\System\AVupdate.exe清除。
