病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬程序
病毒長度:
17886
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
該病毒爲windows平台下的集于下載其它病毒、修改主頁和後台訪問指定網站的複合型病毒,病毒運行後複制自身爲多個
僞系統正常程序,並將自身安裝成僞系統正常服務,以使用戶更難以發覺。同時病毒未經用戶答應強制修改用戶IE主頁;
網絡可用時病毒嘗試訪問特定的網站,並通過網絡進行病毒的自我更新操作。造成用戶機器不穩定。
病毒主要通過捆綁軟件和欺騙方式進行傳播。
1、複制自身爲以下僞系統正常文件:
%Windir%\system32\netstart.exe
%Windir%\system32\regshell.exe
%Windir%\system32\inetesvr.exe
%Windir%\system32\INTasks.exe
%Windir%\system32\lsas.exe
%Windir%\system32\svchest.exe
%Windir%\system32\service.exe
2、生成以下相關文件:
%Windir%\system32\winpub.reg
%Windir%\system32\deleteme.bat
%Windir%\systems.exe
3、寫入以下注冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A77-0106-060207060704}]
"StubPath"="%Windir%\system32\regshell.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"webService"="%Windir%\systems.exe"
4、添加如下僞系統正常服務,使病毒開機後自動運行:
服務名:Remss_Ser
顯示名稱:RemoteManagementsInstrumenta
描述:治理局域網和遠程連接。假如此服務被禁用,任何依靠它的服務將無法啓動。
路徑:C:\WINNT\System32\netstart.exe-service
啓動方式:自動
5、刪除以下注冊表鍵:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A77-0106-060207060704}]
6、系統爲WinNT/2k/xp/2003時,病毒通過查找窗體類名爲:"Shell_TrayWnd"的方式定位explorer進程,然後通過explorer訪問相關網站並進行病毒更新。
7、病毒通過修改以下注冊表項強制設置用戶ie主頁:
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]
"LocalPage"="http://vod.mmdy.org"
"StartPage"="http://vod.mmdy.org"
8、運行如下相關命令訪問相關的網站頁面:
Explorer.exehttp://vod.mmdy.org/
Explorer.exehttp://vod.mmdy.org/news
Explorer.exehttp://vod.mmdy.org/goodvip
Explorer.exehttp://vod.mmdy.org/mm
Explorer.exehttp://vod.mmdy.org/mp3
Explorer.exehttp://vod.mmdy.org/sp
Explorer.exehttp://vod.mmdy.org/yx
Explorer.exehttp://vod.mmdy.org/zz
9、病毒同時通過以下鏈接進行病毒的自我更新操作:
http://vod.mmdy.org/guest.exe
10、病毒通過修改以下注冊表項使用戶中毒後無法打開注冊表編輯器:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
11、同時病毒修改注冊以下項目的使用戶無法在IE設置中修改主頁:
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]
"HomePage"=dword:00000001
"Settings"=dword:00000001
"Links"=dword:00000001
"SecAddSites"=dword:00000001
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
病毒名稱(中文):
病毒別名:
威脅級別:
★☆☆☆☆
病毒類型:
木馬程序
病毒長度:
17886
影響系統:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行爲:
該病毒爲windows平台下的集于下載其它病毒、修改主頁和後台訪問指定網站的複合型病毒,病毒運行後複制自身爲多個
僞系統正常程序,並將自身安裝成僞系統正常服務,以使用戶更難以發覺。同時病毒未經用戶答應強制修改用戶IE主頁;
網絡可用時病毒嘗試訪問特定的網站,並通過網絡進行病毒的自我更新操作。造成用戶機器不穩定。
病毒主要通過捆綁軟件和欺騙方式進行傳播。
1、複制自身爲以下僞系統正常文件:
%Windir%\system32\netstart.exe
%Windir%\system32\regshell.exe
%Windir%\system32\inetesvr.exe
%Windir%\system32\INTasks.exe
%Windir%\system32\lsas.exe
%Windir%\system32\svchest.exe
%Windir%\system32\service.exe
2、生成以下相關文件:
%Windir%\system32\winpub.reg
%Windir%\system32\deleteme.bat
%Windir%\systems.exe
3、寫入以下注冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A77-0106-060207060704}]
"StubPath"="%Windir%\system32\regshell.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"webService"="%Windir%\systems.exe"
4、添加如下僞系統正常服務,使病毒開機後自動運行:
服務名:Remss_Ser
顯示名稱:RemoteManagementsInstrumenta
描述:治理局域網和遠程連接。假如此服務被禁用,任何依靠它的服務將無法啓動。
路徑:C:\WINNT\System32\netstart.exe-service
啓動方式:自動
5、刪除以下注冊表鍵:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A77-0106-060207060704}]
6、系統爲WinNT/2k/xp/2003時,病毒通過查找窗體類名爲:"Shell_TrayWnd"的方式定位explorer進程,然後通過explorer訪問相關網站並進行病毒更新。
7、病毒通過修改以下注冊表項強制設置用戶ie主頁:
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]
"LocalPage"="http://vod.mmdy.org"
"StartPage"="http://vod.mmdy.org"
8、運行如下相關命令訪問相關的網站頁面:
Explorer.exehttp://vod.mmdy.org/
Explorer.exehttp://vod.mmdy.org/news
Explorer.exehttp://vod.mmdy.org/goodvip
Explorer.exehttp://vod.mmdy.org/mm
Explorer.exehttp://vod.mmdy.org/mp3
Explorer.exehttp://vod.mmdy.org/sp
Explorer.exehttp://vod.mmdy.org/yx
Explorer.exehttp://vod.mmdy.org/zz
9、病毒同時通過以下鏈接進行病毒的自我更新操作:
http://vod.mmdy.org/guest.exe
10、病毒通過修改以下注冊表項使用戶中毒後無法打開注冊表編輯器:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
11、同時病毒修改注冊以下項目的使用戶無法在IE設置中修改主頁:
[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]
"HomePage"=dword:00000001
"Settings"=dword:00000001
"Links"=dword:00000001
"SecAddSites"=dword:00000001