病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
117860
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
该病毒是一个文件间谍木马。它会查找并调用rar.exe程序将指定文件打包并加密,假如找不到rar.exe程序则自身在系统目录下释放一个2.0版本rar.exe。使得用户不能正常使用这些加密的文件。同时该病毒还会通过u盘传播。建议电脑用户升级病毒库查杀该病毒,以免中毒受害。
1、生成的文件
%SystemRoot%\java\classes\java.dll
%SystemRoot%\system32\kernel32.sys
%SystemRoot%\system32\mfc48.dll
2、注册CLSID组件
HKCR\CLSID\{E07E458A-C4E5-4445-8C7D-0AEA7E51F3C6}
"(Default)"="JavaClass"
HKCR\CLSID\{E07E458A-C4E5-4445-8C7D-0AEA7E51F3C6}\InprocServer32
"(Default)"="%SystemRoot%\java\classes\java.dll"
3、添加浏览器辅助对象
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{E07E458A-C4E5-4445-8C7D-0AEA7E51F3C6}
"(Default)"=""
4、添加启动项,随系统进程启动
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Windows
"AppInit_DLLs"="kernel32.sys"
5、加压密码为:dk407814.
手工清除病毒:
(1)使用icesword结束explorer.exe和svchost.exe进程中的java.dll,kernel32.sys,mfc48.dll模块。
(2)删除该病毒添加的CLSID组件、BHO组件和将AppInit_DLLs启动内容清空。
(3)重起系统
(4)将该病毒生成的这三个文件删除即可。
