病毒名称(中文):
陷阱
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
3497
影响系统:
Win9xWinNT
病毒行为:
这是一个广告木马病毒。该病毒将浏览器的默认主页和默认搜索页修改为http://69.*.191.*/search.cgi?a12484,并将2个色情网站的链接Pornl.url和TeensAnalFucking.url添加到浏览器的收藏夹中,此外该病毒还在注册表中添加启动项并将.EXE文件关联到病毒文件,使得每次系统启动和执行EXE文件的时候该病毒都会被执行一次。
1)将病毒拷贝到:
%SystemRoot%\scvhost.exe
%SystemRoot%\windbg.exe
2)在注册表中为病毒添加启动项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"scvhost"="%SystemRoot%\scvhost.exe"
3)修改.EXE文件的关联到病毒:
HKEY_CLASSES_ROOT\exefile\shell\Open\Command
默认="%SystemRoot%\windbg.exe"%1"%*"
4)修改浏览器的默认主页和默认搜索页:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main
"StartPage"="http://69.*.191.*/search.cgi?a12484"
"SearchPage"="http://69.*.191.*/search.cgi?a12484"
"SearchBar"="http://69.*.191.*/search.cgi?b12484"
"UseSearchAsst"="no"
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main
"StartPage"="http://69.*.191.*/search.cgi?a12484"
"SearchPage"="http://69.*.191.*/search.cgi?a12484"
"SearchBar"="http://69.*.191.*/search.cgi?b12484"
"UseSearchAsst"="no"
5)在浏览器的收藏夹里建立2个色情网站的链接Pornl.url和TeensAnalFucking.url
6)在HKEY_CURRENT_USER\PROTOCOLS\Handler\its下删除键值"CSLID"并建立:
HKEY_CURRENT_USER\PROTOCOLS\Handler\ms-its
"CSLID"="{9D148291-B9C8-11D0-A4CC-0000F80149F6}"
修改注册表键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search
"SearchAssistant"="http://69.*.191.*/search.cgi?b12484"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
"www"="http://69.*.191.*/1/?"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\2
"1000"=0x00000000
"1004"=0x00000000
"1200"=0x00000000
"1201"=0x00000000
"1400"=0x00000000
"1402"=0x00000000
"1405"=0x00000000
"1406"=0x00000000
"1407"=0x00000000
"1609"=0x00000000
"1803"=0x00000000
"CurrentLevel"=0x00000000
"MinLevel"=0x00000000
"RecommendedLeve"=0x00000000