本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1. 病毒图标会伪装成一个文件夹的图标，迷惑用户。

行为分析：
这是一个广告程序。它会利用AUTO技术进行自动传播。禁用任务管理器和注册表，注册表自启动。病毒每隔几十毫秒就以新的进程和文件来代替旧的进程和文件，试图以此来逃避安全软件的查杀。

描述：
1. 病毒图标会伪装成一个文件夹的图标，迷惑用户。



2. 病毒运行后拷贝自身到C:windows emp目录下，以一个随机名来命名，如QQ20080819111337.exe，文件名后门几个数字是当前的日期加上一段随机数字序列。



3. 添加注册表自启动HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun WiniDows=C:windows empQQ20080819111337.exe



4. 依次从C:盘到Z:盘新建autorun.inf文件，文件内容为：

[AutoRun]

open=QQ168.exe

shellopen=打开(&O)

shellopenCommand=QQ168.exe

shellopenDefault=1

shellexplore=资源管理器(&X)

shellexploreCommand=QQ168.EXE



5. 禁用任务管理器，HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

注册表值： DisableTaskMgr = 1



6. 禁用注册表，HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem

注册表值： DisableTaskMgr = 1



7. 更改IE主页，HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

键名：Start Page

键值："http://www.2**lt.com"



8. 病毒的自保护，病毒会每隔几十毫秒就用新的进程和文件来代替旧的进程和文件，从而使得任务管理器里不容易定位到病毒的当前进程及文件。详见下：

病毒做了以上的事情后，会在C:windows emp目录下以随机文件名生成一份新的拷贝，然后启动这份拷贝，退出自身进程。新的进程又会重复以上的操作，更改注册表，创建INF文件，更改IE主页，然后会删除旧的病毒文件，创建另一个新的病毒文件。从而病毒在不断的改变自身的文件和进程，导致无法真正定位到病毒当前进程和文件。解决方法是在较短的时间间隔里结束病毒的当前进程和另一个刚刚创建好的进程。