I-Worm/QQ.Porn，此病毒为蠕虫病毒，通过在线QQ发送病毒文件。病毒运行后会从黑客网站下载另一病毒(Backdoor/Jieba.2004)，后者可以捕获Win9x/Win2k/WinXp下的几乎所有普通窗口的登录密码， 如： OICQ/QQ, ICQ, Outlook, Foxmail, 电子邮箱， 网吧上网账号， 软件注册码、各种游戏软件， 各种财务软件， 各种管理软件， 拨号上网， 共享目录， 屏保等等， 以及各种在网页的登录密码， 如： Web邮件， 江湖论坛， 聊天室， 密码保护资料等。

　　病毒名称：I-Worm/QQ.Porn

　　病毒大小：20480，upx压缩

　　传播方式：网络传播

　　危害程度：**

感染过程：

　　(1) 如果病毒被执行，会生成以下文件，其存路径为：

　　病毒运行后，将创建下列文件：

　　%SystemDir%\wbem\dhelp.dll, 20480字节

　　%SystemDir%\dhelp.dll, 20480字节

　　%SystemDir%\wmimgr.exe, 20480字节

　　(2) 从黑客网站下载Backdoor/Jieba.2004并保存为：

　　%SystemDir%\comime.exe, 49576字节

　　%SystemDir%\msinthk.dll, 6656字节

　　(3) 在注册表中添加下列启动项：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"mssysint" = comime.exe

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　"Windows Management Instrumentation" = wmimgr.exe

　　这样，在Windows启动时，病毒就可以自动执行

　　(4) 病毒通过修改以下注册表键值，达到用户无法手工修改注册表和使用任务管理器的目的：

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

　　"DisableTaskMgr" = 1

　　[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

　　"DisableRegistryTools" = 00000001

　　(5) 显示以下虚假信息，欺骗用户：

　　(6) 创建两个定时器，每隔一定时间查找QQ聊天消息窗口并向所有在线用户发送病毒文件，带毒文件扩展名为.jpg.exe,带毒文件名为以下字串之一：

　　解决方案：针对该病毒江民公司在第一时间升级了病毒库，用户只需将KV江民杀毒系列软件智能升级到2005年05月23日最新版本，开启起七套实时监控系统，即可将此病毒有效的杀死在系统之外，确保电脑不受病毒的侵扰