病毒名称:
Trojan.StartPage.ck
类别: 木马病毒
病毒资料:
破坏方法:
非法修改用户IE设置
病毒采用VB编写。
病毒运行后有以下行为:
一、将自己复制到%WINDIR%目录下,文件名为"CSRSS.EXE"。
二、修改以下注册表键值,以达到其自启动的目的:
1.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\Run
增加数据项:"csrss"
数据值:"%WINDIR%\CSRSS.EXE"
2.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\Run
增加数据项:"csrss"
数据值:"%WINDIR%\CSRSS.EXE"
3.
HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\Currentversion\RunServices
增加数据项:"csrss"
数据值:"%WINDIR%\CSRSS.EXE"
4.
HKEY_CURRENT_USER\Software\Microsoft
\Windows\Currentversion\RunServices
增加数据项:"csrss"
数据值:"%WINDIR%\CSRSS.EXE"
三、修改系统文件WIN.INI中WINDOWS节的RUN项,增加数据值"%WINDIR%\CSRSS.EXE",以达到其自启动的目的。
四、修改注册表中有关IE的以下数据项,使用户每次打开IE都会访问病毒指定的网站:
1.HKEY_LOCAL_MACHINE\Software\Microsoft\Internet EXPlorer\Main
\start page
2.HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\start page
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-9-16
right"(出处:清风软件学院)