病毒名称：W32.HLLW.Loxar
发现日期：2002-10-18
病毒类型：蠕虫病毒
传播范围：低
危害级别：中
传播速度：低 

病毒介绍：

    W32.HLLW.Loxar蠕虫病毒通过KaZaA网络进行传播，它是用Delphi语言编写的，并经过了tElock的压缩处理。此病毒能够选择随机的文件名将自己复制到所有磁盘的根目录及KaZaA共享文件夹中。每到12月13日，它都将自动打开记事本文件并在窗口中显示信息。此病毒感染安装有Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me操作系统的计算机，而不会感染安装有Windows 3.x, Microsoft IIS, Macintosh, OS/2, Unix, Linux操作系统的计算机。

   1.此病毒企图终止许多反病毒及防火墙程序的进程。

   2.此病毒通过KaZaA网络进行广泛的传播。

   3.如果这个病毒是第一次被激活并开始运行，那么它将终止下列文件的进程：
    Iamapp.exe
    Iamserv.exe
    Cfinet.exe
    Aplica32.exe
    Zonealarm.exe
    Esafe.exe
    Cfiadmin.exe
    Cfiaudit.exe
    Cfinet32.exe
    Pcfwallicon.exe
    Frw.exe
    Vshwin32.exe
    Vsecomr.exe
    Webscanx.exe
    Avconsol.exe
    Vsstat.exe
    Navapw32.exe
    Navw32.exe
    _Avpcc.exe
    _Avpm.exe
    Avp.exe
    Lockdown2000.exe
    Icload95.exe
    Icmon.exe
    Icsuppnt.exe
    Icloadnt.exe
    Tds2-98.exe
    Tds2-Nt.exe
    Tds2-Xp.exe
    Safeweb.exe
    Zapro.exe
    Blackice.exe。

   4.此病毒能够随机地以下列的文件名，将本身复制到C至Z盘的根目录下： 
    Xex0x.exe
    Xer0x.exe
    X3rox.exe
    X3r0x.exe
    Xerox.com
    Xer0x.com
    X3rox.com
    X3r0x.com
    X3xox.exe。

   5.此病毒创建键值：
   xerox
   到注册表编辑器：
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中,使得机器启动时病毒就会自动运行。

   6.此病毒还能够创建注册表编辑器键：
   HKEY_LOCAL_MACHINE\SOFTWAR\Xerox
   并将创建键值：
   Xeroxlocation，并将其指向病毒第一次运行的位置。 

   7.如果在计算机软驱中有软盘，此病毒会将本身复制到软盘的根目录下。如果区域日期样式设为 "dd/mm/yyyy"，那么在2002至2012年中每到12月13日，其就会打开记事本文件，并显示SYSTEM OWNED BY "tHE xEROx wORM"的信息。

   8.此病毒能够搜寻C盘中的所有子文件夹，并且查找其中是否有Kazaa.exe文件，如果有的话，此病毒会将本身复制到\My Shared Folder下，并且将其命名为： 
    XXX.exe
    Gutter sluts.exe
    Britney naked.exe
    Buffy nude.exe
    Sex sex sex.exe
    Teen blow jobs.exe
    Rapes video.mpeg.exe
    Teen sex.mpeg.exe
    9 naked girls.exe
    FULL SEX MOVIES.mpeg.exe。

解决方案：

   1.及时升级杀毒软件，之后认真在整个硬盘上查杀此病毒，彻底清除掉查到的 W32.HLLW.Loxar蠕虫病毒。

   2.到注册表编辑器:
 （1）HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中将键值：
      xerox清除。

 （2）将注册表键：HKEY_LOCAL_MACHINE\SOFTWAR\Xerox删除。