HLLW查杀技巧：终止反病毒及防火墙程序的W32.HLLW.Loxar病毒

　　病毒名称：W32.HLLW.Loxar

　　发现日期：2002-10-18

　　病毒类型：蠕虫病毒

　　传播范围：低

　　危害级别：中

　　传播速度：低

　　病毒介绍：

　　W32.HLLW.Loxar蠕虫病毒通过KaZaA网络进行传播，它是用Delphi语言编写的，并经过了tElock的压缩处理。此病毒能够选择随机的文件名将自己复制到所有磁盘的根目录及KaZaA共享文件夹中。每到12月13日，它都将自动打开记事本文件并在窗口中显示信息。此病毒感染安装有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统的计算机，而不会感染安装有Windows 3.x, Microsoft IIS, Macintosh, OS/2, Unix, Linux操作系统的计算机。

　　1.此病毒企图终止许多反病毒及防火墙程序的进程。

　　2.此病毒通过KaZaA网络进行广泛的传播。

　　3.如果这个病毒是第一次被激活并开始运行，那么它将终止下列文件的进程：

　　Iamapp.exe

　　Iamserv.exe

　　Cfinet.exe

　　Aplica32.exe

　　Zonealarm.exe

　　Esafe.exe

　　Cfiadmin.exe

　　Cfiaudit.exe

　　Cfinet32.exe

　　Pcfwallicon.exe

　　Frw.exe

　　Vshwin32.exe

　　Vsecomr.exe

　　Webscanx.exe

　　Avconsol.exe

　　Vsstat.exe

　　Navapw32.exe

　　Navw32.exe

　　_Avpcc.exe

　　_Avpm.exe

　　Avp.exe

　　Lockdown2000.exe

　　Icload95.exe

　　Icmon.exe

　　Icsuppnt.exe

　　Icloadnt.exe

　　Tds2-98.exe

　　Tds2-Nt.exe

　　Tds2-Xp.exe

　　Safeweb.exe

　　Zapro.exe

　　Blackice.exe。

　　4.此病毒能够随机地以下列的文件名，将本身复制到C至Z盘的根目录下：

　　Xex0x.exe

　　Xer0x.exe

　　X3rox.exe

　　X3r0x.exe

　　Xerox.com

　　Xer0x.com

　　X3rox.com

　　X3r0x.com

　　X3xox.exe。

　　5.此病毒创建键值：

　　xerox

　　到注册表编辑器：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中,使得机器启动时病毒就会自动运行。

　　6.此病毒还能够创建注册表编辑器键：

　　HKEY_LOCAL_MACHINESOFTWARXerox

　　并将创建键值：

　　Xeroxlocation，并将其指向病毒第一次运行的位置。

　　7.如果在计算机软驱中有软盘，此病毒会将本身复制到软盘的根目录下。如果区域日期样式设为 "dd/mm/yyyy"，那么在2002至2012年中每到12月13日，其就会打开记事本文件，并显示SYSTEM OWNED BY "tHE xEROx wORM"的信息。

　　8.此病毒能够搜寻C盘中的所有子文件夹，并且查找其中是否有Kazaa.exe文件，如果有的话，此病毒会将本身复制到My Shared Folder下，并且将其命名为：

　　XXX.exe

　　Gutter sluts.exe

　　Britney naked.exe

　　Buffy nude.exe

　　Sex sex sex.exe

　　Teen blow jobs.exe

　　Rapes video.mpeg.exe

　　Teen sex.mpeg.exe

　　9 naked girls.exe

　　FULL SEX MOVIES.mpeg.exe。

　　解决方案：

　　1.及时升级杀毒软件，之后认真在整个硬盘上查杀此病毒，彻底清除掉查到的 W32.HLLW.Loxar蠕虫病毒。

　　2.到注册表编辑器:

　　(1)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中将键值：

　　xerox清除。

　　(2)将注册表键：HKEY_LOCAL_MACHINESOFTWARXerox删除。