| 導購 | 订阅 | 在线投稿
分享
 
 
 

Win32.Troj.Clicker.pa

來源:互聯網網民  2008-08-14 22:46:20  評論

病毒名稱(中文):

病毒別名:

威脅級別:

★☆☆☆☆

病毒類型:

木馬程序

病毒長度:

17886

影響系統:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行爲:

該病毒爲windows平台下的集于下載其它病毒、修改主頁和後台訪問指定網站的複合型病毒,病毒運行後複制自身爲多個

僞系統正常程序,並將自身安裝成僞系統正常服務,以使用戶更難以發覺。同時病毒未經用戶答應強制修改用戶IE主頁;

網絡可用時病毒嘗試訪問特定的網站,並通過網絡進行病毒的自我更新操作。造成用戶機器不穩定。

病毒主要通過捆綁軟件和欺騙方式進行傳播。

1、複制自身爲以下僞系統正常文件:

%Windir%\system32\netstart.exe

%Windir%\system32\regshell.exe

%Windir%\system32\inetesvr.exe

%Windir%\system32\INTasks.exe

%Windir%\system32\lsas.exe

%Windir%\system32\svchest.exe

%Windir%\system32\service.exe

2、生成以下相關文件:

%Windir%\system32\winpub.reg

%Windir%\system32\deleteme.bat

%Windir%\systems.exe

3、寫入以下注冊表項:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A77-0106-060207060704}]

"StubPath"="%Windir%\system32\regshell.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"webService"="%Windir%\systems.exe"

4、添加如下僞系統正常服務,使病毒開機後自動運行:

服務名:Remss_Ser

顯示名稱:RemoteManagementsInstrumenta

描述:治理局域網和遠程連接。假如此服務被禁用,任何依靠它的服務將無法啓動。

路徑:C:\WINNT\System32\netstart.exe-service

啓動方式:自動

5、刪除以下注冊表鍵:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A77-0106-060207060704}]

6、系統爲WinNT/2k/xp/2003時,病毒通過查找窗體類名爲:"Shell_TrayWnd"的方式定位explorer進程,然後通過explorer訪問相關網站並進行病毒更新。

7、病毒通過修改以下注冊表項強制設置用戶ie主頁:

[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]

"LocalPage"="http://vod.mmdy.org"

"StartPage"="http://vod.mmdy.org"

8、運行如下相關命令訪問相關的網站頁面:

Explorer.exehttp://vod.mmdy.org/

Explorer.exehttp://vod.mmdy.org/news

Explorer.exehttp://vod.mmdy.org/goodvip

Explorer.exehttp://vod.mmdy.org/mm

Explorer.exehttp://vod.mmdy.org/mp3

Explorer.exehttp://vod.mmdy.org/sp

Explorer.exehttp://vod.mmdy.org/yx

Explorer.exehttp://vod.mmdy.org/zz

9、病毒同時通過以下鏈接進行病毒的自我更新操作:

http://vod.mmdy.org/guest.exe

10、病毒通過修改以下注冊表項使用戶中毒後無法打開注冊表編輯器:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000001

11、同時病毒修改注冊以下項目的使用戶無法在IE設置中修改主頁:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]

"HomePage"=dword:00000001

"Settings"=dword:00000001

"Links"=dword:00000001

"SecAddSites"=dword:00000001

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
病毒名稱(中文): 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬程序 病毒長度: 17886 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 該病毒爲windows平台下的集于下載其它病毒、修改主頁和後台訪問指定網站的複合型病毒,病毒運行後複制自身爲多個 僞系統正常程序,並將自身安裝成僞系統正常服務,以使用戶更難以發覺。同時病毒未經用戶答應強制修改用戶IE主頁; 網絡可用時病毒嘗試訪問特定的網站,並通過網絡進行病毒的自我更新操作。造成用戶機器不穩定。 病毒主要通過捆綁軟件和欺騙方式進行傳播。 1、複制自身爲以下僞系統正常文件: %Windir%\system32\netstart.exe %Windir%\system32\regshell.exe %Windir%\system32\inetesvr.exe %Windir%\system32\INTasks.exe %Windir%\system32\lsas.exe %Windir%\system32\svchest.exe %Windir%\system32\service.exe 2、生成以下相關文件: %Windir%\system32\winpub.reg %Windir%\system32\deleteme.bat %Windir%\systems.exe 3、寫入以下注冊表項: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A77-0106-060207060704}] "StubPath"="%Windir%\system32\regshell.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "webService"="%Windir%\systems.exe" 4、添加如下僞系統正常服務,使病毒開機後自動運行: 服務名:Remss_Ser 顯示名稱:RemoteManagementsInstrumenta 描述:治理局域網和遠程連接。假如此服務被禁用,任何依靠它的服務將無法啓動。  路徑:C:\WINNT\System32\netstart.exe-service 啓動方式:自動 5、刪除以下注冊表鍵: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A77-0106-060207060704}] 6、系統爲WinNT/2k/xp/2003時,病毒通過查找窗體類名爲:"Shell_TrayWnd"的方式定位explorer進程,然後通過explorer訪問相關網站並進行病毒更新。 7、病毒通過修改以下注冊表項強制設置用戶ie主頁: [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main] "LocalPage"="http://vod.mmdy.org" "StartPage"="http://vod.mmdy.org" 8、運行如下相關命令訪問相關的網站頁面: Explorer.exehttp://vod.mmdy.org/ Explorer.exehttp://vod.mmdy.org/news Explorer.exehttp://vod.mmdy.org/goodvip Explorer.exehttp://vod.mmdy.org/mm Explorer.exehttp://vod.mmdy.org/mp3 Explorer.exehttp://vod.mmdy.org/sp Explorer.exehttp://vod.mmdy.org/yx Explorer.exehttp://vod.mmdy.org/zz 9、病毒同時通過以下鏈接進行病毒的自我更新操作: http://vod.mmdy.org/guest.exe 10、病毒通過修改以下注冊表項使用戶中毒後無法打開注冊表編輯器: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 11、同時病毒修改注冊以下項目的使用戶無法在IE設置中修改主頁: [HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel] "HomePage"=dword:00000001 "Settings"=dword:00000001 "Links"=dword:00000001 "SecAddSites"=dword:00000001
󰈣󰈤
王朝萬家燈火計劃
期待原創作者加盟
 
 
 
>>返回首頁<<
 
 
 
 
 
 熱帖排行
 
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有