病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
54455
影响系统:
Win9xWinNT
病毒行为:
该病毒通过QQ进行传播。病毒运行后会阻止金山毒霸、天网、3721AntiTrojan等多种安全软件。病毒还会修改浏览器的默认首页为www.joy***.com。病毒会添加多个启动项、修改程序关联。用户一旦染毒,手动清除比较麻烦。
1、病毒将自身复制到以下位置:
%systemRoot%\SVOHOST.EXE
%System%\commamd.exe
%System%\he1p.exe(1为数字1,不是字母L)
%System%\lsasa.exe
2、添加注册项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"ctfnom.exe"="%systemRoot%\SVOHOST.EXE"
以保证开机时能够运行病毒
3、修改注册项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
"Shell"="Explorer.execommamd.exe"
以保证开机时能够运行病毒
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main
"StartPage"="http://www.joy**.com"
修改用户浏览器首页,并禁止用户修改主页内容
HKEY_CLASSES_ROOT\exefile\shell\open\command
默认=%System%\he1p.exe"%1"%*
修改EXE关联,使得每运行一个可执行文件,病毒都会运行
4、创建以下互斥量,以阻止安全软件运行
KingsoftAntivirusScanProgram7Mutex
SKYNET_PERSONAL_FIREWALL
ASSISTSHELLMUTEX
AntiTrojan3721
5、关闭含有以下字符的窗口
QQKav
绿鹰PC
防火墙
网镖
杀毒
QQAV
病毒
木马
进程
注册表
Windows任务治理器
6、通过QQ传送有病毒体,并且发送以下信息以迷惑用户:
快接啊,才找到的,精典啊
接收,是我发的文件,放心不是病毒
别人刚传给我的,真的很不错
快接收啊,好东西
你朋友叫我给你的,快点接收啊
你上次问我要的东西,还要不要了
这个动画短片真的很不错,你看看
看看录像里的人是谁,你肯定大吃一惊
不接你要后悔的,绝对是精品
快收,很出色的片段