Win32.Troj.Clicker.pa

病毒名称(中文):

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

木马程序

病毒长度:

17886

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

该病毒为windows平台下的集于下载其它病毒、修改主页和后台访问指定网站的复合型病毒，病毒运行后复制自身为多个

伪系统正常程序，并将自身安装成伪系统正常服务，以使用户更难以发觉。同时病毒未经用户答应强制修改用户IE主页；

网络可用时病毒尝试访问特定的网站，并通过网络进行病毒的自我更新操作。造成用户机器不稳定。

病毒主要通过捆绑软件和欺骗方式进行传播。

1、复制自身为以下伪系统正常文件:

%Windir%\system32\netstart.exe

%Windir%\system32\regshell.exe

%Windir%\system32\inetesvr.exe

%Windir%\system32\INTasks.exe

%Windir%\system32\lsas.exe

%Windir%\system32\svchest.exe

%Windir%\system32\service.exe

2、生成以下相关文件:

%Windir%\system32\winpub.reg

%Windir%\system32\deleteme.bat

%Windir%\systems.exe

3、写入以下注册表项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A77-0106-060207060704}]

"StubPath"="%Windir%\system32\regshell.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"webService"="%Windir%\systems.exe"

4、添加如下伪系统正常服务，使病毒开机后自动运行:

服务名:Remss_Ser

显示名称:RemoteManagementsInstrumenta

描述:治理局域网和远程连接。假如此服务被禁用，任何依靠它的服务将无法启动。

路径:C:\WINNT\System32\netstart.exe-service

启动方式:自动

5、删除以下注册表键:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ActiveSetup\InstalledComponents\{340121DC-1BEF-1A77-0106-060207060704}]

6、系统为WinNT/2k/xp/2003时，病毒通过查找窗体类名为:"Shell_TrayWnd"的方式定位explorer进程，然后通过explorer访问相关网站并进行病毒更新。

7、病毒通过修改以下注册表项强制设置用户ie主页:

[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main]

"LocalPage"="http://vod.mmdy.org"

"StartPage"="http://vod.mmdy.org"

8、运行如下相关命令访问相关的网站页面:

Explorer.exehttp://vod.mmdy.org/

Explorer.exehttp://vod.mmdy.org/news

Explorer.exehttp://vod.mmdy.org/goodvip

Explorer.exehttp://vod.mmdy.org/mm

Explorer.exehttp://vod.mmdy.org/mp3

Explorer.exehttp://vod.mmdy.org/sp

Explorer.exehttp://vod.mmdy.org/yx

Explorer.exehttp://vod.mmdy.org/zz

9、病毒同时通过以下链接进行病毒的自我更新操作:

http://vod.mmdy.org/guest.exe

10、病毒通过修改以下注册表项使用户中毒后无法打开注册表编辑器:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistryTools"=dword:00000001

11、同时病毒修改注册以下项目的使用户无法在IE设置中修改主页:

[HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\ControlPanel]

"HomePage"=dword:00000001

"Settings"=dword:00000001

"Links"=dword:00000001

"SecAddSites"=dword:00000001

• ·Win32.Troj.PcRob.np
• ·Win32.PSWTroj.Lineage.z
• ·Win32.Troj.PswLmir.ci
• ·Win32.Troj.Downloader.v
• ·Win32.Troj.Downloader.a
• ·Win32.Troj.QQPass.vf
• ·Worm.QQTran.dt
• ·Win32.Troj.Masaji.ad
• ·Win32.Troj.QQPass.bd
• ·Win32.Troj.PSWZhengtu.d