该木马程序被包装在一个名为s.eml的邮件中，并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时，邮件中的木马程序（Hack.exe）就会自动运行。
　　木马程序被运行后会：
　　1、复制自身到Windows系统目录（通常为windowssystem）下，改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会使用户误认为这是一个正常的系统文件。
　　2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。（其中%windowssystem%为Windows的系统目录）
　　3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看，很好看的”，当用户点击该网址浏览时，木马程序就会被再次激活，从而使该木马通过QQ聊天工具不断地传播自己。
　　清除方法：
　　(1)打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
　　(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12]  下一页