病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
其它
病毒长度:
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
强制安装;无法卸载;恶意修改主页为www.8757.com;下载安装其它恶意软件。
1,生成文件
%profile%\LocalSettings\Temp\v20061227.rar
%profile%\LocalSettings\Temp\v20070113.rar
%windir%\v20070113.rar
%sys32dir%\dfssvc.dll
%sys32dir%\notepad.dll
%sys32dir%\realschd.exe
2,添加clsid
HKEY_CLASSES_ROOT\CLSID\{09172B1A-D8D9-4810-92ED-626F2F414052}
3,添加启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"realschd.exe"="%sys32dir%\realschd.exe"
"Realplayer.exe"="%sys32dir%\realschd.exe"
"Messager.exe"="%sys32dir%\realschd.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"realschd.exe"="%sys32dir%\realschd.exe"
"Realplayer.exe"="%sys32dir%\realschd.exe"
"Messager.exe"="%sys32dir%\realschd.exe"
4,更改下列注册表键值使成为启动项
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\text/html
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon
"Shell"="Explorer.exe%sys32dir%\realschd.exe"
5,更改ie主页
http://www.8757.com/
