W32.HLLW.Merkur@mm蠕虫病毒是通过Microsoft Outlook进行传播的邮件蠕虫病毒,此病毒能够将本身发送给Microsoft Outlook地址簿中的所有联系人,同时此病毒也会通过KaZaA和mIRC等进行广泛地传播。此病毒感染安装有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统的计算机,而不会感染安装有Macintosh, OS/2, Unix, Linux操作系统的计算机。 1.此病毒是通过VB编写的。 2.此病毒发送的电子邮件中: 邮件题目:Update your Anti-virus Software 附件名称:Taskman.exe 附件大小:45,056字节。 3.此病毒一旦被激活并开始运行,它将本身复制到: C:\Autoexec.exe C:\Windows\Screensaver.exe C:\Windows\System\Avupdate.exe C:\Program Files\Uninstall.exe C:\Program Files\Kazaa\My Shared Folder\Ipspoofer.exe C:\Program Files\Kazaa\My Shared Folder\Virtual Sex Simulator.exe C:\Program Files\Bearshare\Shared\Ipspoofer.exe C:\Program Files\Bearshare\Shared\Virtual Sex Simulator.exe C:\Program Files\Edonkey2000\Incoming\Ipspoofer.exe C:\Program Files\Edonkey2000\Incoming\Virtual Sex Simulator.exe。 4.此病哗盯毒复制本身到KaZaA网络共享文件夹中,并覆盖下列两个文件: C:\Windows\Taskman.exe C:\Windows\Notepad.exe。 5.此病毒能够创建批处理文件C:\Pr0n.bat,并且能够删除乱灶和在下列文件辩银夹中的以.jpg、.mpg、.bmp、.avi结尾的文件,即: C:\Program Files\Kazaa\My Shared Folder C:\Program Files\Bearshare\Shared C:\Program Files\eDonkey2000\Incoming。 6.此病毒能够生成键值: AVupdate C:\Windows\System\AVupdate.exe 到注册表编辑器: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中,使得机器启动时病毒就会自动运行。 7.如果C:\mIRC或C:\Program Files\mIRC文件夹存在的话,此病毒将创建mIRC脚本文件Script.ini,发送其本身到mIRC使用者,并通过mIRC传播感染其它的计算机。 8.此病毒能够将本身发送给Microsoft Outlook地址簿中的所有联系人,其中电子邮件具有以下特征: 邮件题目:Update your Anti-virus Software 邮件正文:Here is a patch for your AV software, it will cover all the latest out breaks of worms ect (worms as in virus not earth worms! lol) 附件名称:Taskman.exe。解决方案: 1.及时升级杀毒软件,之后认真在整个硬盘上查杀此病毒,彻底清除掉查到的W32.HLLW.Merkur@mm蠕虫病毒。 2.到注册表编辑器: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中将键值: AVupdate C:\Windows\System\AVupdate.exe清除。