HLLW查杀技巧：W32.HLLW.Merkur@mm病毒介绍及查杀方法

　　病毒名称：W32.HLLW.Merkur@mm

　　发现日期：2002-10-23

　　病毒类型：蠕虫病毒

　　传播范围：低

　　危害级别：中

　　传播速度：低

　　病毒介绍：

　　W32.HLLW.Merkur@mm蠕虫病毒是通过Microsoft Outlook进行传播的邮件蠕虫病毒，此病毒能够将本身发送给Microsoft Outlook地址簿中的所有联系人，同时此病毒也会通过KaZaA和mIRC等进行广泛地传播。此病毒感染安装有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统的计算机，而不会感染安装有Macintosh, OS/2, Unix, Linux操作系统的计算机。

　　1.此病毒是通过VB编写的。

　　2.此病毒发送的电子邮件中：

　　邮件题目：Update your Anti-virus Software

　　附件名称：Taskman.exe

　　附件大小：45,056字节。

　　3.此病毒一旦被激活并开始运行，它将本身复制到:

　　C:\Autoexec.exe

　　C:\Windows\Screensaver.exe

　　C:\Windows\System\Avupdate.exe

　　C:\Program Files\Uninstall.exe

　　C:\Program Files\Kazaa\My Shared Folder\Ipspoofer.exe

　　C:\Program Files\Kazaa\My Shared Folder\Virtual Sex Simulator.exe

　　C:\Program Files\Bearshare\Shared\Ipspoofer.exe

　　C:\Program Files\Bearshare\Shared\Virtual Sex Simulator.exe

　　C:\Program Files\Edonkey2000\Incoming\Ipspoofer.exe

　　C:\Program Files\Edonkey2000\Incoming\Virtual Sex Simulator.exe。

　　4.此病毒复制本身到KaZaA网络共享文件夹中，并覆盖下列两个文件：

　　C:\Windows\Taskman.exe

　　C:\Windows\Notepad.exe。

　　5.此病毒能够创建批处理文件C:\Pr0n.bat，并且能够删除在下列文件夹中的以.jpg、.mpg、.bmp、.avi结尾的文件，即：

　　C:\Program Files\Kazaa\My Shared Folder

　　C:\Program Files\Bearshare\Shared

　　C:\Program Files\eDonkey2000\Incoming。

　　6.此病毒能够生成键值:

　　AVupdate C:\Windows\System\AVupdate.exe

　　到注册表编辑器：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中,使得机器启动时病毒就会自动运行。

　　7.如果C:\mIRC或C:\Program Files\mIRC文件夹存在的话，此病毒将创建mIRC脚本文件Script.ini，发送其本身到mIRC使用者，并通过mIRC传播感染其它的计算机。

　　8.此病毒能够将本身发送给Microsoft Outlook地址簿中的所有联系人，其中电子邮件具有以下特征：

　　邮件题目：Update your Anti-virus Software

　　邮件正文：Here is a patch for your AV software, it will cover all the latest out breaks of worms ect (worms as in virus not earth worms! lol)

　　附件名称：Taskman.exe。

　　解决方案：

　　1.及时升级杀毒软件，之后认真在整个硬盘上查杀此病毒，彻底清除掉查到的W32.HLLW.Merkur@mm蠕虫病毒。

　　2.到注册表编辑器:

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中将键值：

　　AVupdate C:\Windows\System\AVupdate.exe清除。