爱情森林病毒(Trojan.ScKiss)是一个病毒程序，程序原始文来自件名为hack.exe，用Delphi编写，用UPX压缩。利用Iframe漏洞。没有打补丁的用户浏览含有该邮件的网页时，副木马程序(Hack.exe)自动粒聚图运行。

病毒自身复制到Windows操作系统的s快法足复ystem目录下，改名为Explorer.exe。病毒与Windows目录下的Explorer文件同名。

• 中文名称 爱情森林病毒
• 外文名称 Trojan.ScKiss
• 病毒类型 木马病毒
• 感染对象 网络
• 编写语言 Delphi

病毒机理

攻击原理

　　该病毒会从指定站点下载文件(upd来自ate.exe)，并执行程序，进行其它的破坏活动。先打开任务管理器，结束(Explorer进程)，

　　病毒修扬改注册表(HKEY_LOCAL_MACHINESoftwareMicrosoftW胞清玉调味武皮析护通indowsCurrentVersionRun)添加键值(Explorer="%windowssystem%Explorer.exe")开机自动运行。恶意网页利用JAVAEXPLOIT漏洞，不经用户允许即可以自动下载病毒并执行，修改用户的注册表及IE配置。利用了著名的I觉电兵扬比季华保买切派frame漏洞自动运行。

运行过程

　　病毒自身复制后拷贝到Windows目录下，并分别命名为(winupdate.exe、winver.exe)。 生成一个名为hosts的文件稳起座神席，用户系统为Win9x，该文件会复制到windows目录下，若用户的系统为WinNt，则会复制到 (WinNt/syste360百科m32/driversetchosts下)，代替IE的部分域名解析。当用户在IE浏览器中输入网址时，就会进入所指定的网页。

　　修改注册表，使HK多补征经位助取乡强EY_CLASSES_ROOTtxtfileshellopencommand的默认键值为"%windows%winver.ex设企衣们差举令千e %windows%NOTEPAD.EXE %1"，城关联记事本，当用户打开(txt)文件病毒自动运行，使 HKEY_CLASSES_ROOTexefileshellopencommand的默认键路振液响击原固何击快车值为(%windows%winupdate.exe %1 办院袁尽很女群%*)，执行(exe)文件哥径报自动运行。

　　病毒利用QQ程序向其它的QQ用户发送消息。

中毒症状

　　"爱情森林"病毒通过QQ发送信息之后，便标限味开始进行本机的感染。病毒首先改名为:(EXPLORER.EXE)，然后将之拷贝到WINDOWS的系统目录 (SYSTEM或SYSTEM32)下，修改注册表，在RUN的自启动项中建立一个EXPLORER的键值，将病毒路径加入其中，计算机重启，病毒便可自动运行。

病毒清除

　　任务管理器结束Explorer进程，删除系统目录下的木马程序Explorer.exe。重新启动到DOS下到system目录删除该木马程序。

　　来自注册表编辑器删除(HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run)下名为Explorer的键值。

　　删除系统文件夹(Win9x通常为Windowssystem，WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。