据病毒中心检测室梁宏介绍，这一病毒感染系统为Windows９５/９８/Me/NT/２０００/XP，病毒运行后，会释放多个文件在%Windir%和系统目录下，修改注册表键值，更改用户的IE起始页面，并通过OICQ进行传播。表面上，用户在登录网站时会有多个窗口弹出，并感到系统运行速度减慢。这一病毒的特征是：

    １、生成病毒文件

    病毒运行后生成多个文件，在%Windir%下生成自身拷贝sendmess.exe，长度为１８k，以及文件qq３２.ini，长度为５９k，并在%System%下生成qqmess.d１１，长度为３６k。

    其中，%Windir%在不同系统下分别为C:\Windows 或 C:\Winnt。

    其中，%System%在Windows９５/９８/Me 下为C:\Windows\System，在Windows NT/２０００下为C:\Winnt\System３２，在Windows XP下为 C:\Windows\System３２。

    ２、修改注册表项

    病毒添加注册表项，使得木马程序在系统启动时自动运行，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加QQ = %Windir%\sendmess.exe。

    ３、更改IE起始页面

    病毒还会更改IE的起始页面，更改为http://www.****.com/，并修改注册表的相关键值，更改HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Start page=www.****.com（网站不是固定的某一个），这样一来，病毒感染后，每次启动IE，都会自动登录到http://www.****.com/，并且在登录其他网站时，同时弹出用户没有登录的网站窗口，有些网站还含有不健康的内容。

    ４、通过OICQ进行传播

    病毒还可以通过OICQ传播，在用户使用OICQ聊天的时候，病毒可自动获取当前窗口，并将预先设定好的内容附加在发送消息的后面给正在聊天的朋友，发送的消息可能为“看过无间道三吗？这里有呀http://www.******.com精彩极了全程过程由谢雷锋主演，比原来两部好看多了，你看了吗？情节真是~可悲。。。”，“我在听周伦的新歌（晴天坊主）你也来听年个吧，真的很好听啊 http://www.******.com”或 “你刚才说?什么？？我好无聊噢，我们上语音聊天吧，进这个地址进了以后叫我http://www.******.com 别进错了快呀我等你 ”（注意：网站和消息都不是固定不变的，以上信息是在登录某一网站感染病毒后发送的），发送的这些信息是从文件qq３２.ini中获取的，它骗取用户登录含有恶意代码的网站，从而使病毒得到进一步的传播。以下是截取的病毒在OICQ中发送消息的画面。

    手工清除该病毒的相关操作：

    １、终止病毒进程

    在Windows９x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/２０００/XP系统中，同时按下CTRL+SHIFT+ESC，选择“任务管理器--〉进程”，选中正在运行的进程“sendmess.exe”，并终止其运行。

    ２、注册表的恢复

    点击“开始--〉运行”，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的“QQ” = %Windir%\sendmess.exe。

    ３、删除病毒释放的文件点击“开始--〉查找--〉文件和文件夹”，查找文件“sendmess.exe”、“qq３２.ini"和"qqmess.d１１”，并将找到的文件删除。

    ４、运行杀毒软件，对系统进行全面的病毒查杀

    目前，金山、瑞星、江民公司都可以有效的清除该病毒。

    国家计算机病毒应急处理中心提醒广大计算机用户升级杀毒软件，启动“实时监控”和“个人防火墙”，做好预防工作。不要随便登录不明网站，同时对OICQ中好友发送过来的消息要谨慎处理。（完）