Win32.Troj.Clicker.pa

病毒别名： 处理时间：2006-09-06 威胁级别：★

中文名称： 病毒类型：木马 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒为windows平台下的集于下载其它病毒、修改主页和后台访问指定网站的复合型病毒，病毒运行后复制自身为多个

伪系统正常程序，并将自身安装成伪系统正常服务，以使用户更难以发觉。同时病毒未经用户允许强制修改用户IE主页；

网络可用时病毒尝试访问特定的网站，并通过网络进行病毒的自我更新操作。造成用户机器不稳定。

病毒主要通过捆绑软件和欺骗方式进行传播。

1、复制自身为以下伪系统正常文件:

%Windir%system32

etstart.exe

%Windir%system32

egshell.exe

%Windir%system32inetesvr.exe

%Windir%system32INTasks.exe

%Windir%system32lsas.exe

%Windir%system32svchest.exe

%Windir%system32service.exe

2、生成以下相关文件:

%Windir%system32winpub.reg

%Windir%system32deleteme.bat

%Windir%systems.exe

3、写入以下注册表项:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftActive SetupInstalled Components{340121DC-1BEF-1A77-0106-060207060704}]

"StubPath" = "%Windir%system32

egshell.exe"

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

"webService" = "%Windir%systems.exe"

4、添加如下伪系统正常服务，使病毒开机后自动运行:

服务名: Remss_Ser

显示名称: Remote Managements Instrumenta

描述: 管理局域网和远程连接。如果此服务被禁用，任何依赖它的服务将无法启动。

路径: C:WINNTSystem32

etstart.exe -service

启动方式: 自动

5、删除以下注册表键:

[HKEY_CURRENT_USERSOFTWAREMicrosoftActive SetupInstalled Components{340121DC-1BEF-1A77-0106-060207060704}]

6、系统为WinNT/2k/xp/2003时，病毒通过查找窗体类名为:"Shell_TrayWnd" 的方式定位explorer进程，然后通过explorer访问相关网站并进行病毒更新。

7、病毒通过修改以下注册表项强制设置用户ie主页:

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain]

"Local Page" = "http://vod.mmdy.org"

"Start Page" = "http://vod.mmdy.org"

8、运行如下相关命令访问相关的网站页面:

Explorer.exe http://vod.mmdy.org/

Explorer.exe http://vod.mmdy.org/news

Explorer.exe http://vod.mmdy.org/goodvip

Explorer.exe http://vod.mmdy.org/mm

Explorer.exe http://vod.mmdy.org/mp3

Explorer.exe http://vod.mmdy.org/sp

Explorer.exe http://vod.mmdy.org/yx

Explorer.exe http://vod.mmdy.org/zz

9、病毒同时通过以下链接进行病毒的自我更新操作:

http://vod.mmdy.org/guest.exe

10、病毒通过修改以下注册表项使用户中毒后无法打开注册表编辑器:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

"DisableRegistryTools"=dword:00000001

11、同时病毒修改注册以下项目的使用户无法在IE设置中修改主页:

[HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel]

"HomePage"=dword:00000001

"Settings"=dword:00000001

"Links"=dword:00000001

"SecAddSites"=dword:00000001

• ·刍蒿增二
• ·LOVEHOLIC
• ·Win32.Troj.QQPass.bd
• ·Win32.Troj.Masaji.ad
• ·Win32.Troj.QQPass.vf
• ·Win32.Troj.Downloader.a
• ·Win32.Troj.Downloader.v
• ·Worm.ToyPet.a
• ·Worm.Warezov.a
• ·Win32.Troj.PswWow.yt