Win32.Troj.Masaji.ad

王朝system·作者佚名  2008-08-14
窄屏简体版  字體: |||超大  

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

45056

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是个修改用户IE主页的病毒。

1、将自身复制到%WINDOWS%\system32\Realplayer.exe和%WINDOWS%\v20060830.rar。

2、不停的添加如下注册表项来使病毒自启动和修改IE首页为http://www.7939.com/,且用户无法将其修改过来。

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Realplayer.exe"%WINDOWS%\system32\Realplayer.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Realplayer.exe"%WINDOWS%\system32\Realplayer.exe"

HKLM\Software\MicrosoftNT\Windows\CurrentVersion\Winlogon\Shell"Explorer.exe%WINDOWS%\system32\Realplayer.exe"

HKCU\Software\Microsoft\InternetExplorer\Main\StartPage"http://www.7939.com/"

3、释放文件%system%\RavMon.dll或%system%\Rsvtub.dll,并插入到explorer.exe进程中。

4、将病毒复制体插入到explorer.exe进程中使用户无法删除病毒体。

5、尝试关闭以下与计算机安全相关的软件的进程:

fint2005.exe

Unlocker.exe

unlockerassistant.exe

HijackThis.exe

DLLShow.exe

RogueCleaner.exe

DosTools.exe

Killbox.exe

uihost.exe

360safe.exe

360shell.exe

5、尝试检测瑞星注册表监控窗口并将其关闭;检测AVP的主动防御警报窗口,并向其发送"答应"按钮消息,使病毒躲过AVP的主动防御警报。

7、将以下网页中内容下载到一个bat文件中并执行。

http://update.***sky.com//command0830.html

http://***58com.com/830.html

8、从http://***58com.com/上下载文件到本机并执行。

9、该病毒可以自动更新。

10、自删除。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航