订阅病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬程序
病毒長度:
21117
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
這是一個利用wmf漏洞的病毒。當用戶打開含有wmf病毒的網站時,假如存在wmf漏洞,將會自動下載該病毒。病毒運行後,能自動打開特定網站,並從這些網站上下載大量病毒文件,執行破壞操作。如盜竊傳奇帳號和密碼的木馬,修改ie主頁,關閉安全軟件等。該病毒利用qq傳播。能自動查找與用戶聊天的qq好友,發送病毒網站過去。假如對方打開網站,會自動下載病毒。假如用戶試圖關閉網站,會彈出更多的網頁。同時病毒會把自身添加到注冊表的自啓動項目中,每次開機,病毒會自動運行。
1,打開下列黃色網站:
http://www.**36920.com
http://www.**da333.com
http://www.**dalumm.com
2,下載下列病毒程序:
Win32.Troj.KillAV.bz
Win32.Troj.Joiner.d
Win32.Troj.Lmir.ao
Win32.Troj.StartPage.aa
等
3,發送下列病毒網站給qq好友:
**36920.com
4,釋放病毒文件到下列目錄:
%windows%\hws.exe
%system%\a.exe
5,關閉下列安全軟件:
RavMon.exe
RavMon.EXE
天網防火牆個人版
天網防火牆企業版
木馬克星
噬菌體
ZoneAlarm
EGHOST.EXE
MAILMON.EXE
netbargp.exe
等
6,把病毒網頁添加到注冊表中,每次開機,自動打開病毒網站:
HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\InternetExplorer\Main
7,修改注冊表項,使病毒開機自啓動
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\RunServices
8,修改注冊表,關閉注冊表工具
