I-Worm.Wukill（給“地址簿” 中的聯絡人傳送帶毒的郵件）

[winfile.exe]

　　[病毒名]：I-Worm.Wukill

另：

“殺手吳變種g（i-worm.wukill.g）”病毒：警惕程度，蠕蟲病毒，透過電子郵件傳播，依賴系統：win9x/nt/2000/xp。

　　該病毒採用visualbasic語言編寫，初次執行後將自身複製到windows系統字型目錄下，並修改登錄檔實現自啟動。隨後它將自身複製到c盤根目錄下的所有目錄中，檔名和所在目錄名相同，同時修改登錄檔隱藏病毒檔案。病毒會搜尋outlook的地址列表，向列表中的地址傳送標題為“您要的資料”內容為“您要的資料在document資料夾中，開啟可以看到內容。”的病毒郵件，其它使用者開啟郵件中的附件就會被病毒感染。病毒會大量傳送垃圾郵件，造成網路阻塞，機器執行速度變慢。

[破壞方法]：這個病毒採用資料夾圖示，具有很大迷惑性。該病毒執行後，會將自己大量複製到其他目錄中。


　　一、 病毒首次執行時將顯示This File Has Been Damage!；

　　二、 將自己複製到windows目錄下並改名為Mstray.exe；

　　三、修改登錄檔：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun

　　以達到其自啟動的目的；

　　四、 列舉磁碟目錄，在每個根目錄下釋放下列檔案：

　　winfile.exe 病毒主體程式

　　comment.htt 利用IE漏洞呼叫同一個目錄下的winfile.exe，屬性為隱藏。

　　desktop.ini 系統為隱藏。採用web方式瀏覽資料夾時，系統會呼叫該檔案，該檔案調

　　用comment.htt ，從而啟用病毒。

　　五、 病毒修改登錄檔，隱藏系統檔案、隱藏受系統保護的檔案、隱藏已知的副檔名稱。

　　這樣，使用者看不到comment.htt和Desktop.ini， winfile.exe被隱藏字尾明，又是檔案

　　夾圖示，使用者極容易認為是資料夾而點選。

　　同時病毒在當前路徑下生成的自身複製，名稱採用上級目錄，或者是當前視窗的標題，

　　增加隱蔽性。

　　六、病毒呼叫傳送攜帶病毒的信件。

　　手工清除:(在沒有防毒軟體的情況下)

　　首先:找到Mstray.exe(注意這個是系統

　　和隱藏的檔案,所以大家應該知道怎

　　麼才能找到它了,在系統資料夾下),

　　刪除掉.

　　並修改登錄檔,去掉對應的啟動項.

　　接著:利用的Windows的搜尋功能,搜尋所

　　有的:

　　Winfile.exe,comment.htt,

　　desktop.ini(注意:檢視->去掉系

　　統保護,去掉隱藏)

　　刪除!注意還得清楚不要刪錯了哦!

　　有些desktop.ini是windows原有

　　的檔案)

　　最後:查詢硬碟內所以的[*.exe]檔案,

　　(注意:如上),你會發現好多的資料夾

　　圖示形式的.exe 檔案,刪除掉所有

　　這些檔案.一切OK!