Win32.Troj.WinShow.g

病毒名称(中文):

广告家

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

5

影响系统:

Win9xWinNTWin2000WinXPWin2003

病毒行为:

编写工具:VC6.0，UPX压缩

传染条件:隐藏在JAR文件中，欺骗用户运行，利用JAVA虚拟机的漏洞;或是通过网页上的VBScript来传播。

发作条件:IE启动就会被运行

系统修改:

A、在注册表中添加一下键值：

HKEY_CLASSES_ROOTclsid{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}

HKEY_CLASSES_ROOTclsid{6cc1c91a-ae8b-4373-a5b4-28ba1851e39a}

HKEY_CLASSES_ROOTsoftwaremicrosoftwindowscurrentversionexplorerrowserhelperobjects{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}

HKEY_CLASSES_ROOTwinlink.viewsource

HKEY_CLASSES_ROOTwinlink.viewsource.1

HKEY_CLASSES_ROOTwinshow.viewsource

HKEY_CLASSES_ROOTwinshow.viewsource.1

HKEY_CURRENT_USERsoftwarewinshow

HKEY_LOCAL_MACHINEclsid{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}

HKEY_LOCAL_MACHINEsoftwareclassesclsid{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}

HKEY_LOCAL_MACHINEsoftwareclassesclsid{6cc1c91a-ae8b-4373-a5b4-28ba1851e39a}

HKEY_LOCAL_MACHINEsoftwareclasseswinshow.viewsource

HKEY_LOCAL_MACHINEsoftwareclasseswinshow.viewsource.1

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorerrowserhelperobjects{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionuninstallwinshow

B、添加如下文件：

c:documentsandsettingsallusersstartmenumsupdater.exe

%profilepath%applicationdatawinlinkkeywords.dat

%profilepath%applicationdatawinlinkwinlink.dll

%profilepath%applicationdatawinshowdict.dat

%profilepath%applicationdatawinshowwinshow.dll

%SystemRoot%system32winshow.dll

%SystemRoot%systemwinshow.dllmshp.dll

注：%profilepath%表示c:documentsandsettings下的当前用户文件夹；%System%表示系统文件夹。

C、修改IE起始主页以及搜索起始页，而弹出广告窗口。

发作现象:

A、在Win9x/WinMe/WinNT/Win2000的系统下，当使用IE打开一个网页时，假如网页中包含制定的词语，则它会弹出一个与该词语相关的广告窗口，这些广告是由00hq.com与8ad.com网站提供的。

B、在WinXP/Win2003的系统下，当使用IE时，将会触发一个错误报告，并强制关闭IE。

非凡说明:

• ·Worm.Beagle.e
• ·Worm.Beagle.M
• ·Worm.Beagle.N
• ·Worm.Beagle.i
• ·Worm.Beagle.K
• ·Worm.Silly.a
• ·PE.Voodoo.1537.exe
• ·Win32.Troj.Executan.389
• ·Worm.Netsky.f
• ·Worm.NekSky.K