wmimgr.exe -- 一个QQ自动发送文件病毒

　　最近，新的QQ发送文件的病毒比较流行，看表现和之前那个MyRunner什么Hansoft什么的那个QQ发送文件病毒有些类似，这里就个人分析给一点说明：

　　相关的病毒文件：

　　~!KqVo4c.exe

　　comime.exe

　　DHelp.dll

　　msinthk.dll

　　QQDHelp.dll

　　wmimgr.exe

　　病毒通过QQ发送文件的方式传播，发送的文件名极具诱惑，以<文件名>.jpg.exe的形式发送，图标见附件。

　　病毒需要接收并运行后才会感染系统，运行后会显示一个错误对话框（见附件）。

　　病毒在注册表中添加一下信息，禁止用户打开“任务管理器”和“注册表编辑器”：

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

　　"DisableTaskMgr"="0"

　　"DisableRegistryTools"=dword:00000001

　　在注册表中添加标志信息：HKEY_LOCAL_MACHINESOFTWARETopFox

　　还会查找瑞星和QQ的信息，据说发现瑞星会删除瑞星的文件：

　　HKEY_LOCAL_MACHINESOFTWARErisingRav

　　病毒自身复制到系统目录下，文件名为wmimgr.exe。

　　病毒还会修改一些系统程序文件和QQ程序文件，在文件中加上“TopFox”标志和好像是调用病毒文件DHelp.dll的信息，会被修改的系统文件有：

　　%System%dllcacheexplorer.exe

　　%System%dllcacheiexplore.exe

　　%System%dllcachenotepad.exe

　　%Windows%explorer.exe

　　%Windows%notepad.exe

　　%System%notepad.exe

　　%ProgramFiles%Internet Exploreriexplore.exe

　　还有一些QQ程序也会被修改，比如QQGame.exe等。

　　注：当系统文件被修改时，系统会出现这样的对话框（见附件）。