El mecanismo del virus Love Forest Virus

El virus descarga archivos del sitio web designado (update.exe) y ejecuta programas para realizar otras actividades destructivas. Primero abra el administrador de tareas y luego finalícelo (proceso del navegador).

El virus modifica el registro (HKEY_Local_MachineSoftwareCrosoftWindowsCurrentVersionRun) y añade un valor clave (explorer =% Windows system% explorer.exe) para comenzar a ejecutarse automáticamente. Las páginas web maliciosas pueden descargar y ejecutar virus automáticamente sin el permiso del usuario y modificar el registro del usuario y la configuración de IE. Explota la famosa vulnerabilidad Iframe para que se ejecute automáticamente. El virus se copia en el directorio de Windows y les asigna un nombre (winupdate.exe, winupdate.exe). Genere un archivo llamado hosts. El sistema de usuario es Win9x y los archivos se copiarán al directorio de Windows. Si el sistema del usuario es WinNt, se copiará (en WinNt/system32/driversetchosts) para reemplazar algunas resoluciones de nombres de dominio de IE. Cuando el usuario ingresa la URL en el navegador IE, se ingresará a la página web especificada. Modifique el registro para que el valor de clave predeterminado de HKEY_Class_rootttxtFileShelopenCommand sea %Windows%Winver. Exe% Windows% Bloc de notas. Este archivo está asociado con el Bloc de notas. Cuando un usuario abre un archivo (txt), el virus se ejecuta automáticamente. Establezca HKEY_class_root exfileshelopencommand(% Windows % win update) como valor de clave predeterminado. exe% 1% *), y el archivo de ejecución (exe) se ejecuta automáticamente.

El virus utiliza el programa QQ para enviar mensajes a otros usuarios de QQ.