病毒名称(中文):
"WEB封锁"变种ho
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
5120
影响系统:
Win9xWinNTWin2000WinXPWin2003
病毒行为:
编写工具:
MicrosoftVisualC++6
传染条件:
发作条件:
系统修改:
A、在生成文件:
"%SystemRoot%hosts"
将原来的"%Sytem%driversetchosts"也替换为上面生成的这个文件。
通过修改该文件,用户将无法访问文件中列出的这些网站
B、在注册表主键HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMain下添加键值:
"Default_Page_URL"="http://cashsearch.biz/redir.php"
在注册表主键HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMain下修改如下键值:
"LocalPage"="C:WINNTSystem32lank.htm"
"StartPage"="about:blank"
为
"LocalPage"="http://cashsearch.biz/redir.php"
"StartPage"="http://cashsearch.biz/redir.php"
在注册表主键HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerMain下修改如下键值:
"Default_Page_URL"="http://www.microsoft.com/windows/ie_intl/cn/start/"
"LocalPage"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,62,6c,61,6e,6b,2e,68,74,6d,00
"StartPage"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
为
"Default_Page_URL"="http://cashsearch.biz/redir.php"
"LocalPage"="http://cashsearch.biz/redir.php"
"StartPage"="http://cashsearch.biz/redir.php"
发作现象:
该病毒运行期间,会不断的重复进行16点所提到的修改,其现象为访问其生成的hosts文件中所列的文件的时候,地址栏会显示“连接到127.0.0.1”,然后就会被重定向到病毒所设置的页面。既试图访问这些站点的时候都会被带到病毒设置的站点去,既屏蔽了对这些站点的访问请求。
用户可以修改主页设置,但是一旦用户修改了,又马上被病毒改回来。
非凡说明: