病毒名称(中文):
广告家
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
5
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:VC6.0,UPX压缩
传染条件:隐藏在JAR文件中,欺骗用户运行,利用JAVA虚拟机的漏洞;或是通过网页上的VBScript来传播。
发作条件:IE启动就会被运行
系统修改:
A、在注册表中添加一下键值:
HKEY_CLASSES_ROOTclsid{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}
HKEY_CLASSES_ROOTclsid{6cc1c91a-ae8b-4373-a5b4-28ba1851e39a}
HKEY_CLASSES_ROOTsoftwaremicrosoftwindowscurrentversionexplorerrowserhelperobjects{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}
HKEY_CLASSES_ROOTwinlink.viewsource
HKEY_CLASSES_ROOTwinlink.viewsource.1
HKEY_CLASSES_ROOTwinshow.viewsource
HKEY_CLASSES_ROOTwinshow.viewsource.1
HKEY_CURRENT_USERsoftwarewinshow
HKEY_LOCAL_MACHINEclsid{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}
HKEY_LOCAL_MACHINEsoftwareclassesclsid{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}
HKEY_LOCAL_MACHINEsoftwareclassesclsid{6cc1c91a-ae8b-4373-a5b4-28ba1851e39a}
HKEY_LOCAL_MACHINEsoftwareclasseswinshow.viewsource
HKEY_LOCAL_MACHINEsoftwareclasseswinshow.viewsource.1
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorerrowserhelperobjects{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}
HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionuninstallwinshow
B、添加如下文件:
c:documentsandsettingsallusersstartmenumsupdater.exe
%profilepath%applicationdatawinlinkkeywords.dat
%profilepath%applicationdatawinlinkwinlink.dll
%profilepath%applicationdatawinshowdict.dat
%profilepath%applicationdatawinshowwinshow.dll
%SystemRoot%system32winshow.dll
%SystemRoot%systemwinshow.dllmshp.dll
注:%profilepath%表示c:documentsandsettings下的当前用户文件夹;%System%表示系统文件夹。
C、修改IE起始主页以及搜索起始页,而弹出广告窗口。
发作现象:
A、在Win9x/WinMe/WinNT/Win2000的系统下,当使用IE打开一个网页时,假如网页中包含制定的词语,则它会弹出一个与该词语相关的广告窗口,这些广告是由00hq.com与8ad.com网站提供的。
B、在WinXP/Win2003的系统下,当使用IE时,将会触发一个错误报告,并强制关闭IE。
非凡说明: