Worm_ Fatso.A

病毒名称： Worm_ Fatso.A

病毒类型： 蠕虫

感染系统：Windows 95/98/Me/NT/2000/XP

病毒长度：17,429 Bytes

病毒介绍：

该病毒通过MSN进行传播,它会自身拷贝 ,当点击该链接后,该病毒拷贝就会进入计算机系统内。该病毒也可以通过p2p共享程序传播，会迫使受感染用户链接到某一站点, 导致一些链接不可用，也迫使用户不能访问防病毒安全站点。该病毒会结束某些运行的进程,并使之常驻于内存，同时会阻止用户使用windows浏览器。

1、生成病毒文件

病毒通过MSN或p2p软件向计算机用户发送病毒文件，文件可能是

以.pif、.vbs、.txt等这些为扩展名。病毒运行后，会在系统目录%System%下生成若干个病毒文件。

(其中，%System%在Windows 95/98/Me 下为C:WindowsSystem，在Windows NT/2000下为C:WinntSystem32，在Windows XP下为 C:WindowsSystem32)

2、修改注册表项

病毒添加注册表项，使得自身能够在系统启动时自动运行，分别在

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

policiesExplorerRun 、

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun、

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

RunServices和

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPolicies

ExplorerRun中添加

"serpe" = %System%serbw.exe或

"ltwob"= %Windows%msmbw.exe或

"avnort"= %System%formatsys.exe

(其中，%System%在Windows 95/98/Me 下为C:WindowsSystem，在Windows NT/2000下为C:WinntSystem32，在Windows XP下为 C:WindowsSystem32)

3、通过MSN和P2P进行传播

该病毒通过MSN进行传播, 并通过MSN向用户好友发送病毒文件，使之迅速传播。它会自身拷贝 ,当点击该链接后,该病毒拷贝就会进入计算机系统内，该病毒也可以通过p2p共享程序进行传播。

4、中止应用进程

该病毒会在被感染的系统中中止一些反病毒软件和防火墙进程，同时会禁止注册表编辑器和任务管理器运行。

5、其他

该病毒还会通过编辑系统中的HOSTS文件来阻止计算机用户访问一些反病毒网站，还会使受感染的机器打开网页c:crazy-frog.html，连接http://frog.0catch.com网站。