Worm.Zhelatin.xv.131584 手动专杀及 病毒资料

这是一个通过Email传播的蠕虫病毒，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，该病毒会搜索计算机中的 E-mail 地址，自动发送邮件，并在邮件附件中添加病毒为附件。

1.病毒运行后释放以下文件:
x:\windows\kavir.exe
X:\windows\nivavir.config
其中kavir.exe是病毒自身副本，nivavir.config实际上是配置ini文件，包含连接端口号，邮件主题，发件人等信息,这些信息需要程序解密。

2.运行以下命令：
"netsh firewall set allowedprogram "C:\WINDOWS\kavir.exe" enable"(防火墙允许程序连接网络)
"w32tm /config /syncfromflags:manual /manualpeerlist:time.windows.com,time.nist.gov"
(与指定服务器同步系统时间);
"w32tm /config /update"(通知时间服务配置被更改，使更改生效)

3.在注册表中设置自启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"kavir"=X\windows\kavir.exe;

4.病毒开启本机端口16595，发送用户名密码昵称等交互信息连接黑客制定地址，在这个端口上监听黑客的指令。

5.病毒搜索计算机中的EMAIL地址，自动向这些地址发送邮件，附件为病毒自身。为了欺骗用户，邮件服务器伪装为yahoo.com，gmail.com等，邮件的主题和发件人等信息从nivavir.config中选取。