Worm.QQTailEKS.ds.36864

病毒名：Worm.QQTailEKS.ds.36864

1.病毒運行後常駐記憶體，向系統目錄中複製多個副本：

%windows%\cacom.exe（%windows%一般是c:\windows目錄）

%System%\Akica.exe（%system%一般是指c:\windows\system32目錄）

在Windows 2000系統，該病毒生成的程式名為sycacom.exe。

2.覆蓋系統遊戲“紙牌”的程式：

%System%\sol.exe

%System%\drivers\sol.exe（這裡正常沒有這個sol.exe）

3.向系統分區以外的分區根目錄複製自身：

X:\EKS.exe（X為盤符）

4.生成“自動播放”檔案：

X:\Autorun.inf：蜜項紙

內容為：

[autorun]

open=EKS.exe

shellexecute=EKS.exe

shell\Auto\command=EKS.exe

shell=Auto

5.修改註冊表，創建啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WINDOWS

\CurrentVersion\Run]

"Akica"="%System%\Akica.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"cacom"="%Windows%\cacom.exe"

6.向QQ好友傳送以下附帶病毒地址的訊息：

看看我的網友，杭州的，皮膚白皙，身材超正，我想讓她成為戀人，徵求您的建

議， 她的視頻 HXXP://2.emeishan-jiudianyuding.cn//v.asp?q=2

還記得小文嗎，她現在成了二奶，打扮得火辣性感，開著寶馬，是被一個殃店雄香港人包的；真不敢相信，看

看她部落格上的視頻您就知道了 hxxp://2.emeishan-jiudianyuding.cn//v.asp?q=1

Hi,快點幫個忙， 打開這個網址，然後隨便點擊下面的一個連結， hxxp://2.emeishan-

jiudianyuding.cn//v.asp?q=URL-movies.htm 一會在對你說為什麼,萬分感謝。

我剛發現的 ，超刺激背剃的**電影，速度巨快， 一個月免費， hxxp://2.emeishan-

jiudianyuding.cn//v.asp?q=URL-free-movies.htm

傳送訊息後嘗試關閉聊天對話框，病毒還會訪問一些廣告頁面。

手動清除方法：

1.結束病毒進程

按Ctrl+Alt+Del，啟動任務管理器，結束vm1.exe的進程（如果重啟過，病毒進程變為akica.exe或cacom.exe）。

2.點開始，運行，輸入regedit，啟動註冊表編輯器，刪除以下病毒啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Akica"="%System%\Akica.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"cacom"="%Windows%\cacom.exe"

3.使用防毒軟體或者手工刪除病毒檔案。

建議立即升級防毒軟體後查殺，如果手邊沒有最新版本的防毒軟體，可以手工刪除以下檔案。

%Windows%\cacom.exe，（%windows%通常指c:\windows目錄）

%System%\Akica.exe，（%system%通常指c:\windows\system32目錄）

%System%\sol.exe

%System%\drivers\sol.exe

4.恢復“紙牌”遊戲

病毒替換了“紙牌”遊戲，可以從正常的系統COPY這個樂戒求遊戲程式到%system%目錄。

5.刪除其它分區的病毒檔案

使用“資源管理器”，而不是雙擊訪問磁碟，雙擊會啟動自動播放，其它分區仍存在的病毒程式會自動運行，這樣的話，前面的工作就白費了。樹形資料夾狀態進入各分區根目錄，刪除EKS.exe和Autorun.inf。

6.禁汽燥照坑用自動播放防範此類病去敬糠滲危踏才毒

該病毒仍然通過自動播放傳播，強烈建議使用組策略編輯器禁止所有驅動器的自動播放功能。操作步驟為：點擊開始→運行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置→管理模板→系統，在右邊窗格中雙擊“關閉自動播放”，對話框中選擇所有驅動器，確定即可。

手動清除方法：

1.結束病毒進程

按Ctrl+Alt+Del，啟動任務管理器，結束vm1.exe的進程（如果重啟過，病毒進程變為akica.exe或cacom.exe）。

2.點開始，運行，輸入regedit，啟動註冊表編輯器，刪除以下病毒啟動項：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Akica"="%System%\Akica.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

"cacom"="%Windows%\cacom.exe"

3.使用防毒軟體或者手工刪除病毒檔案。

建議立即升級防毒軟體後查殺，如果手邊沒有最新版本的防毒軟體，可以手工刪除以下檔案。

%Windows%\cacom.exe，（%windows%通常指c:\windows目錄）

%System%\Akica.exe，（%system%通常指c:\windows\system32目錄）

%System%\sol.exe

%System%\drivers\sol.exe

4.恢復“紙牌”遊戲

病毒替換了“紙牌”遊戲，可以從正常的系統COPY這個遊戲程式到%system%目錄。

5.刪除其它分區的病毒檔案

使用“資源管理器”，而不是雙擊訪問磁碟，雙擊會啟動自動播放，其它分區仍存在的病毒程式會自動運行，這樣的話，前面的工作就白費了。樹形資料夾狀態進入各分區根目錄，刪除EKS.exe和Autorun.inf。

6.禁用自動播放防範此類病毒

該病毒仍然通過自動播放傳播，強烈建議使用組策略編輯器禁止所有驅動器的自動播放功能。操作步驟為：點擊開始→運行→輸入gpedit.msc，打開組策略編輯器，瀏覽到計算機配置→管理模板→系統，在右邊窗格中雙擊“關閉自動播放”，對話框中選擇所有驅動器，確定即可。