【爱情森林】病毒清除

病毒特征
　　 
　　该木马程序用Delphi编写，并用UPX进行了压缩，但该程序需要用户的机器上安装了Delphi的动态库才能运行。该程序具有同“爱情森林”的第一个版本相同的特征，因此极有可能是病毒作者对“爱情森林”的第一个版本重新编译后生成的。木马程序被运行后会： 
　　 
　　1、复制自身到Windows操作系统的system目录(通常为windowssystem)下，并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会迷惑用户，使用户误认为这是一个正常的系统文件。 
　　 
　　2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。（其中%windowssystem%为Windows的系统目录）
　　　　 
　　3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe，并执行下载下来的程序，进行其它的破坏活动。 
　　　　 
　　手工清除该木马的方法
　　　　 
　　1、先打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 
　　　　 
　　2、打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。

用邮件包装，形成自启动邮件。

注意；病毒的原始文件是一个名为HACK.EXE的木马病毒，病毒作者为了能使病毒“初战告捷”,迅速占领用户计算机，利用了OUTLOOK的邮件漏洞，将原始病毒包装成一个可以预览执行的病毒邮件：s.eml，然后放入一个恶意网页中，等待下载。

用QQ工具，发送伪装信息。

如果用户不小心点击或预览了病毒邮件，病毒便可执行。病毒执行时会搜索用户的QQ程序，如果用户在线的话，病毒会伪装成用户，给用户的所有在线的好友发送一条用户无法查觉的隐藏信息，此信息的内容为：“http://sckiss.yeah.net 这个你去看看!很好看的”如果用户的好友在收到了此信息后，因为好奇而点击了此链接，则会进入一个恶意网页。

利用恶意网页帮凶，导致病毒泛

滥。

该恶意网页用JS语言编写，利用了JAVA EXPLOIT漏洞，所以不经用户的允许，便可以悄悄运行自动下载“爱情森林”病毒邮件（s.eml）并执行。然后此恶意网页会修改用户注册表进行破坏，将用户的IE标题改为：“http://sckiss.yeah.net/爱情森林”，使用户的“运行”菜单项无法使用,并且将用户的IE默认首页改为：“http://sckiss.yeah.net/”，此恶意网页还将此网址加入注册表中的RUN自启动项。这样以来，无论用户启动计算机还是启动IE浏览器，都可以自动链接到恶意网页,感染病毒。 四、 侵占系统目录，继续“生生不息”。

“爱情森林”病毒通过QQ发送信息之后，便开始进行本机的感染。病毒首先改名为：“EXPLORER.EXE”，然后将之拷贝到WINDOWS的系统目录（SYSTEM或SYSTEM32）下，这样用户即使发现也不会起疑心，然后病毒修改注册表，在RUN的自启动项中建立一个EXPLORER的键值，将病毒路径加入其中，一旦计算机重启，病毒便可自动运行，再次进行以上感染。