Worm.ImpoFile_病毒数据库

病毒名称(中文): 重要文件
病毒别名:
威胁级别: ★★☆☆☆
病毒类型: 蠕虫病毒
病毒长度: 14848
影响系统: Win9xWinNT

病毒行为:

该病毒通过邮件进程传播。附件内含有一个名为“重要文件.exe”的病毒文件。用户运行该附件后，会从网上下载一个名为“密码解霸”的木马（Win32.Hack.PowerSpider.a）用于窃取用户计算机内的密码，然后发给病毒制作者手中。

1、在注册表主键
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
添加如下键值：
"realsched"="%system%\realsched.exe"

2、将自身复制到系统目录下：
%system%\realsched.exe

3、会弹出标题栏为“致命错误”，内容为“文件损坏，请修复”的对话框，用于麻痹用户。

4、从网上下载两个文件：
http://w***q.5**j.com/mm.zip（病毒本身）
本地保存为
%temp%\~a.zip
http://w***q.5**j.com/rc.jpg（密码解霸木马，用于窃取用户密码等敏感信息）
下载后本地保存为
%temp%\~Cttp.exe，并运行该文件
5、邮件内容可能为以下之一：
请看附件。
都在附件里面。
重要文件。
QQ病毒专杀工具。
请查收附件，
附件在哪啊？你找到我吗？
放心打开来。
注重，有病毒。就在附件中。
……

6、附件为一压缩包，包内有文件名为“重要文件.exe”的病毒文件