病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
21117
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个利用wmf漏洞的病毒。当用户打开含有wmf病毒的网站时,假如存在wmf漏洞,将会自动下载该病毒。病毒运行后,能自动打开特定网站,并从这些网站上下载大量病毒文件,执行破坏操作。如盗窃传奇帐号和密码的木马,修改ie主页,关闭安全软件等。该病毒利用qq传播。能自动查找与用户聊天的qq好友,发送病毒网站过去。假如对方打开网站,会自动下载病毒。假如用户试图关闭网站,会弹出更多的网页。同时病毒会把自身添加到注册表的自启动项目中,每次开机,病毒会自动运行。
1,打开下列黄色网站:
http://www.**36920.com
http://www.**da333.com
http://www.**dalumm.com
2,下载下列病毒程序:
Win32.Troj.KillAV.bz
Win32.Troj.Joiner.d
Win32.Troj.Lmir.ao
Win32.Troj.StartPage.aa
等
3,发送下列病毒网站给qq好友:
**36920.com
4,释放病毒文件到下列目录:
%windows%\hws.exe
%system%\a.exe
5,关闭下列安全软件:
RavMon.exe
RavMon.EXE
天网防火墙个人版
天网防火墙企业版
木马克星
噬菌体
ZoneAlarm
EGHOST.EXE
MAILMON.EXE
netbargp.exe
等
6,把病毒网页添加到注册表中,每次开机,自动打开病毒网站:
HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\InternetExplorer\Main
7,修改注册表项,使病毒开机自启动
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\Run
HKLM\SoftWare\Microsoft\Windows\CurrentVersion\RunServices
8,修改注册表,关闭注册表工具