最近恶意蠕虫非常流行，笔者一朋友用x63.com的邮箱每半小时就收到一封病毒邮件，最可气的是邮箱设置了手机提醒，每半小时就叫。不仅如此，电脑感染后速度明显变慢。

　　以下是此病毒的一些资料（来自金山）：

　　网络蠕虫，通过电子邮件和文件交换网KaZaA的共享目录传播。并提供远程控制的后门。

　　病毒的安装：

　　在运行之后，蠕虫在Windows目录中建立以下文件：

　　iservc.exe (蠕虫拷贝)

　　initbak.dat (蠕虫拷贝)

　　ProgOp.exe (蠕虫组件)

　　iservc.dll (捕捉键盘被按键的库)

　　iservc.klg (包含键盘被按键的纪录)

　　蠕虫在Windows的注册表中记下这些值，以便在Windows启动时，自动运行蠕虫：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　SystemInit=(Windows目录路径)iservc.exe

　　在Windows NT/2000/XP 中，蠕虫甚至可以建立系统服务，但是这个功能被病毒作者关掉了。

　　蠕虫以后缀为“.TXT”的处理程序来注册自己，这样，在打开TXT文件时，它就被执行了。

　　传播：KaZaA

　　蠕虫在KaZaA的共享下载目录中用随机名来复制自己。

　　传播：E-mail

　　为了传播信件，蠕虫使用了专门的SMTP地址库来发送。收信人地址采用随机生成的方式，同时也在Outlook和Windows(WAB)地址薄中提取。

　　被感染信件可以有不同的标题，正文和附件名。它们是蠕虫通过其内置的几个字符行表格来偶然产生的。比如：

　　主题: Re: ;(

　　附件: desktop.exe

　　正文: you must not show this to anyone...

　　主题: Re: I think you might find this amusing...

　　附件: Logan6.exe

　　正文: Let me know what you think of this...

　　主题: Fwd: why?

　　附件: Taylor83.com

　　正文: Today is a good day to die...

　　后门过程：IRC

　　蠕虫包含有IRC频道清单，通过它来建立连接，以便可以从恶意控制端那获得远程控制命令。

　　后门过程：其他

　　蠕虫通过作者定义的端口运行http和类似telnet服务，以便提供远程控制通道。

　　其他

　　蠕虫把所有被按过的键记录到Windows目录下的“isrvc.klg”文件中。还尝试从geocities服务器上的用户web网页上下载自己的升级版本。蠕虫寻找并试图关闭包含有下列行的进程：

　　ANTIV

　　AVP

　　F-PROT

　　NAV

　　NMAIN

　　SCAN

　　TASKM

　　VIRUS

　　VSHW

　　VSS

　　大量的设置，比如注册表值，IRC和SMTP服务器地址，端口号以及蠕虫的一系列活动，以专门的配置文件被记录在其EXE模块的资源中，而且还是加密的形式。

　　清除方法：

　　在开始－＞运行－＞输入regedit ,并运行。

　　然后打开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ，可以看到SystemInit"="%windir%\iservc.exe"。把此项删除。

　　然后在 HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command 中，找到最后一项，改成：notepad.exe %1　（改前此键值比较长，具体值不记得了）

　　然后退出注册表编辑器。

　　重启动后用杀毒软件再次进行杀毒（我用的是NORTON），前提是要升级到最新的病毒库。