病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
18465
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个通过QQ传播的木马病毒。该病毒会将.txt的文件关联修改为病毒文件,使得每次打开.txt文件的时候该病毒都会被运行。病毒会关闭一些常见的反病毒软件并修改流览器的默认首页到病毒网站,该病毒还会向QQ好友发送消息来传播自己。
1.将自己复制到系统目录:
%System%\NIW.exe
%System%\impai.exe
2.添加启动项:
HKCU\SoftWare\Microsoft\Windows\CurrentVersion\Run
"NIW"="%System%\NIW.exe"
3.修改.txt的文件关联到病毒文件:
HKCR\txtfile\shell\open\command
(Default)="%System%\impai.exe"%1""
4.从HKLM\Software\Microsoft\Windows\CurrentVersion\Run下删除以下启动项:
RavTask
KvMonXP
YLive.exe
yassistse
KAVPersonal50
NTdhcp
Winhoxt
阻止反病毒监控程序的启动
5.强行终止窗口标题中带有下列字符串的进程:
QQKav
雅虎助手
卡卡上网安全助手
反间谍专家
防火墙
网镖
杀毒
病毒
木马
QQAV
TKillqqvir
TKqqviru
qqav
TApplication
6.关闭下列反病毒进程:
PFW.exe
Kav.exe
kav32.exe
kvwsc.exe
kavsvc.exe
VPTray.exe
RAVMON.exe
EGHOST.exe
KavPFW.exe
RavMonD.exe
Rtvscan.exe
Nvsvc32.exe
KVMonXP.exe
Kvsrvxp.exe
CCenter.exe
KpopMon.exe
RfwMain.exe
KVCenter.kxp
kavstart.exe
RAVTIMER.exe
RRfwMain.exe
KVSrvXp_1.exe
RavService.exe
7.修改流览器的默认首页到病毒网站
8.向QQ好友发送病毒文件