Worm.Aimdes.b

这是一个通过AIM传播的蠕虫病毒。该病毒会在特定目录下寻找AIM并运行，然后给AIM好友发送信息：“HeyIwenttoawildpartylast
week!checkoutthepics!!!!”，并发送文件文件C:\party!!.pif，以此进行传播。病毒还修改注册表禁止任务治理器和注册表编辑器，尝试调用TaskKill关闭某些系统进程，并对某个网站发动攻击。

1.释放文件。
将自己复制为以下文件：
C:\Windows\sys32dll.exe
C:\party!!.pif

2.修改注册。
修改添加注册表键值：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\sys32dll
"<病毒全路径>C:\Windows\sys32dll.exe"

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU\
"NoAutoUpdate"=dword:0x1

HKEY_CURRENT_USER\Software\Microsoft\securitycenter\
"FirewallDisableNotify"=dword:0x1

HKEY_CURRENT_USER\Software\Microsoft\securitycenter\
"UpdatesDisableNotify"=dword:0x1

HKEY_CURRENT_USER\Software\Microsoft\securitycenter\
"AntiVirusDisableNotify"=dword:0x1

HKLM\Software\Microsoft\securitycenter\
"FirewallDisableNotify"=dword:0x1

HKLM\Software\Microsoft\securitycenter\
"UpdatesDisableNotify"=dword:0x1

HKLM\Software\Microsoft\securitycenter\
"AntiVirusDisableNotify"=dword:0x1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"DisableTaskMgr"=dword:0x1
"DisableRegistryTools"=dword:0x1

删除注册表键值：
HKLM\software\Microsoft\windows\currentversion\run
"windowsautoupdate.exe"

3.终止系统进程（WinXP以上系统）：
TASKKILL/T/F/IMSVCHOST.exe
TASKKILL/F/IMLSASS.exe

4.并对某个网站发动攻击。

5.尝试运行AIM：
C:\ProgramFiles\AIM\aim.exe
C:\ProgramFiles\AIM95\aim.exe
C:\ProgramFiles\AIM\aim.exe
C:\ProgramFiles\AIM95\aim.exe

给AIM好友发送信息：“HeyIwenttoawildpartylastweek!checkoutthepics!!!!”，并发送文件文件C:\party!!.pif，以此进行传播。