I-Worm/QQ.Porn，此病毒為蠕蟲病毒，通過在線QQ發(fā)送病毒文件。病毒運行后會從黑客網(wǎng)站下載另一病毒(Backdoor/Jieba.2004)，后者可以捕獲Win9x/Win2k/WinXp下的幾乎所有普通窗口的登錄密碼， 如： OICQ/QQ, ICQ, Outlook, Foxmail, 電子郵箱， 網(wǎng)吧上網(wǎng)賬號， 軟件注冊碼、各種游戲軟件， 各種財務(wù)軟件， 各種管理軟件， 撥號上網(wǎng)， 共享目錄， 屏保等等， 以及各種在網(wǎng)頁的登錄密碼， 如： Web郵件， 江湖論壇， 聊天室， 密碼保護資料等。

　　病毒名稱：I-Worm/QQ.Porn

　　病毒大小：20480，upx壓縮

　　傳播方式：網(wǎng)絡(luò)傳播

　　危害程度：**

　　感染過程：

　　(1) 如果病毒被執(zhí)行，會生成以下文件，其存路徑為：

　　病毒運行后，將創(chuàng)建下列文件：

　　%SystemDir%wbemdhelp.dll, 20480字節(jié)

　　%SystemDir%dhelp.dll, 20480字節(jié)

　　%SystemDir%wmimgr.exe, 20480字節(jié)

　　(2) 從黑客網(wǎng)站下載Backdoor/Jieba.2004并保存為：

　　%SystemDir%comime.exe, 49576字節(jié)

　　%SystemDir%msinthk.dll, 6656字節(jié)

　　(3) 在注冊表中添加下列啟動項：

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

　　"mssysint" = comime.exe

　　[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

　　"Windows Management Instrumentation" = wmimgr.exe

　　這樣，在Windows啟動時，病毒就可以自動執(zhí)行

　　(4) 病毒通過修改以下注冊表鍵值，達到用戶無法手工修改注冊表和使用任務(wù)管理器的目的：

　　[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem]

　　"DisableTaskMgr" = 1

　　[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem]

　　"DisableRegistryTools" = 00000001

　　(5) 顯示以下虛假信息，欺騙用戶：

　　(6) 創(chuàng)建兩個定時器，每隔一定時間查找QQ聊天消息窗口并向所有在線用戶發(fā)送病毒文件，帶毒文件擴展名為.jpg.exe,帶毒文件名為以下字串之一：

　　解決方案：針對該病毒江民公司在第一時間升級了病毒庫，用戶只需將KV江民殺毒系列軟件智能升級到2005年05月23日最新版本，開啟起七套實時監(jiān)控系統(tǒng)，即可將此病毒有效的殺死在系統(tǒng)之外，確保電腦不受病毒的侵擾