病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
13261
影响系统:
Win9xWinNT
病毒行为:
该病毒将自身复制到系统目录,加载自身到注册表启动项。设置时钟,每2分钟执行一次一下操作:修改注册表,将自身加载到启动项,修改IE主页、IE窗口标题,并锁定IE主页和注册表编辑器,使得用户难以修改;关闭一些常见的安全软件,如瑞星,天网防火墙,金山邮件网关,木马克星,噬菌体,ZoneAlarm等等,大大降低中毒机器的安全性能。
1.将自身复制为:%SystemRoot%\hws.exe.
2.修改注册表。
添加键值:
HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunServices"hws"="%SystemRoot%\hws.exe"
"url"="http://mm.dy17.com"
HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion\Run"hws"="%SystemRoot%\hws.exe"
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main"WindowTitle"="http://mm.dy17.com"
"StartPage"="http://mm.dy17.com"
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main"WindowTitle"="http://mm.dy17.com"
"StartPage"="http://mm.dy17.com"
HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel"HomePage"=dword:0x1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System"DisableRegistryTools"=dword:0x1
3.查找窗口名和窗口类为:
RavMon.exe
RavMonClass
天网防火墙个人版
Tapplication
天网防火墙企业版
TForm1
木马克星
噬菌体
TfLockDownMain
ZoneAlarm
ZAFrameWnd
的窗口并关闭它们。
终止进程:
RavMon.exe
EGHOST.EXE
MAILMON.EXE
netbargp.exe
4.设置时钟,每2分钟执行一次2和3所述行为。