病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
69632
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个具有较大危害的广告木马病毒。病毒除了修改中毒机器的首页,定时
弹网页广告外,还会下载木马释放器,使自身能够得到更新。此外该病毒还会
禁止用户使用系统自带的注册表工具regedit.exe。
1.该病毒被释放到系统目录中,运行后,首先尝试删除以下注册表键项:
[HKCU\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A]
2.在Activesetup注册表项中添加启动项:
[HKLM\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{2bf41072-b2b1-21c1-b5c1-0305f4155515}]
"StubPath"="window.exe"
3.修改注册表,改变机器首页:
[HKCU\Software\Microsoft\InternetExplorer\Main]
"LocalPage"="http://vod.m**y.org/"
"StartPage"="http://vod.m**y.org/"
"SearchPage"="http://vod.m**y.org/"
4.修改以下注册表键值,使用户无法手动修复首页:
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=0x00000001
[HKCU\Software\Policies\Microsoft\InternetExplorer\ControlPanel]
"HomePage"=0x00000001
[HKCU\Software\Policies\Microsoft\InternetExplorer\ControlPanel]
"Settings"=0x00000001
[HKCU\Software\Policies\Microsoft\InternetExplorer\ControlPanel]
"Links"=0x00000001
[HKCU\Software\Policies\Microsoft\InternetExplorer\ControlPanel]
"SecAddSites"=0x00000001
5.病毒注入IE进程,定时弹出网页广告:
i)每550秒:http://www.71**1.com/
ii)每800秒:http://www.71**1.com/news
iii)每800秒:http://www.71**1.com/goodvip
iv)每800秒:http://www.71**1.com/mm
v)每800秒:http://www.71**1.com/mp3
6.病毒每1600秒从网址“http://xingz.3**2.org/im**es/guest.exe”下载木马下载器,
以实现自更新。