Win32.Troj.Masaji.ad - 王朝网络宽屏版

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

45056

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是个修改用户IE主页的病毒。

1、将自身复制到%WINDOWS%\system32\Realplayer.exe和%WINDOWS%\v20060830.rar。

2、不停的添加如下注册表项来使病毒自启动和修改IE首页为http://www.7939.com/,且用户无法将其修改过来。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Realplayer.exe"%WINDOWS%\system32\Realplayer.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Realplayer.exe"%WINDOWS%\system32\Realplayer.exe"

HKLM\Software\MicrosoftNT\Windows\CurrentVersion\Winlogon\Shell"Explorer.exe%WINDOWS%\system32\Realplayer.exe"

HKCU\Software\Microsoft\InternetExplorer\Main\StartPage"http://www.7939.com/"

3、释放文件%system%\RavMon.dll或%system%\Rsvtub.dll，并插入到explorer.exe进程中。

4、将病毒复制体插入到explorer.exe进程中使用户无法删除病毒体。

5、尝试关闭以下与计算机安全相关的软件的进程：

fint2005.exe

Unlocker.exe

unlockerassistant.exe

HijackThis.exe

DLLShow.exe

RogueCleaner.exe

DosTools.exe

Killbox.exe

uihost.exe

360safe.exe

360shell.exe

5、尝试检测瑞星注册表监控窗口并将其关闭；检测AVP的主动防御警报窗口，并向其发送"答应"按钮消息，使病毒躲过AVP的主动防御警报。

7、将以下网页中内容下载到一个bat文件中并执行。

http://update.***sky.com//command0830.html

http://***58com.com/830.html

8、从http://***58com.com/上下载文件到本机并执行。

9、该病毒可以自动更新。

10、自删除。