rundll32.exe 病毒，QQ蠕虫病毒原理，症状，清除
病毒机制&症状

这是一个通过QQ传播的蠕虫病毒。该病毒首先会检查系统是否已经感染了该病毒，如果已经感染了就不再感染，弹出一个窗口结束运行；否则会将多个病毒文件释放到系统目录，修改.exe和.txt的文件关联到病毒文件，使得每次打开.exe和.txt文件时，病毒都会被运行一次。该病毒会关闭还原精灵，从注册表中删除某些启动项。当用户中了该病毒之后，如果使用QQ聊天，则该病毒会自动向好友发送病毒文件，诱骗他们运行。


1)病毒首先会检查注册表中是否存在感染标记HKEY_LOCAL_MACHINE\Software\Classes\MSipv\MainSetup（或MainUp、MainVer），如果存在，该病毒不会再进行感染，就弹出一个如下图所示的窗口结束运行：


2)当病毒进行感染的时候它会在系统目录下释放3个病毒文件：
rundll32.exe
[空格].exe
notepad[空格].exe

在注册表中添加感染标记：
HKEY_LOCAL_MACHINE\Software\Classes\MSipv\MainSetup
HKEY_LOCAL_MACHINE\Software\Classes\MSipv\MainUp
HKEY_LOCAL_MACHINE\Software\Classes\MSipv\MainVer

3)修改.exe和.txt的文件关联到病毒文件，使得每次打开.exe和.txt文件时，病毒都会被运行一次。
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
(Default)=" %1 %*"
HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command
(Default)="notepad %1"

4)从注册表中删除以下启动项：
iexplore
IEXPLORE
mssysint
mspsint
mspbint
iexplore.exe
IEXPLORE .EXE
mssysint.exe
mspsint.exe
mspbint.exe
internat.exe
internat

5)病毒会检测系统中是否安装了QQ，如果安装有QQ，病毒会通过注册表找到QQ.EXE所在路径，把正常的TIMPlatform.exe改名为TIMP1atform.exe（将字母"l"改成数字"1"），将病毒自身复制为TIMPlatform.exe。

6)向QQ好友发送病毒文件，文件名可以是：
接啊，快接啊，推荐给你看看.exe
笑死我了，你看过这个FLASH吗.exe
好漂亮的动画哦，可以打开看看吧.exe
啊哈，网友发的超级搞笑FLASH，你看得懂吗.exe
超级MM，超级FLASH，请笑纳.exe
你一定需要的工作资料（网上找到的）.exe
网上电视（20个CCTV频道+36个省台+50个英文台，极力推荐）.exe
一个对你目前工作很有帮助的东东.exe
QQTalk（QQ聊天秘籍，给你看看吧）.exe



2005.3.11开始，国内陆续有qq用户收到一些非常具有诱惑力的文件，文件名可能为"好漂亮的动画哦，可以打开看看吧.exe、一个对你目前工作很有帮助的东东.exe、你一定需要的工作资料（网上找到的）.exe、接啊，快接啊，推荐给你看看.exe、QQTalk（QQ聊天秘籍，给你看看吧）.exe、网上电视（20个CCTV频道+36个省台+50个英文台，极力推荐）.exe、啊哈，网友发的超级搞笑FLASH，你看得懂吗.exe、笑死我了，你看过这个FLASH吗.exe、今年过年不收礼，收礼只收白骨精（搞笑版广告）.exe、超级MM，超级FLASH，请笑纳.exe"

      在此提醒广大用户，千万不要运行这类文件，经过鉴定、分析，这些文件含有恶意代码，会不断向qq好友发送这类文件，国内的反病毒厂商已于昨天对病毒库进行了升级。广大网友请升级手中的防病毒软件来防范！

      毒霸提供的分析报告：http://vi.db.kingsoft.com/virus.php?fid=37386