病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
广告软件
病毒长度:
394615
影响系统:
WinNTWin2000WinXPWin2003
病毒行为:
这是一个广告类病毒。病毒运行后会释放文件到系统文件夹,并生成注册表项,BHO浏览器,根据sqlite的搜索结果在后台弹广告,影响用户正常上网。另外,该病毒使用sqlite来治理和更新自身数据库文件。
1.生成文件
%windir%\svrhost.dll
%sys32dir%\host.db
2.生成注册表项
HKEY_CLASSES_ROOT\Enya.svrhost
HKEY_CLASSES_ROOT\Enya.svrhost.1
HKEY_CLASSES_ROOT\AppID\svrhost.dll
HKEY_CLASSES_ROOT\AppID\{90A52F08-64AC-4DC6-9D7D-4519700427D3}
HKEY_CLASSES_ROOT\Interface\{6C51F7E9-8542-4F25-A30F-2019700427E1}
HKEY_CLASSES_ROOT\TypeLib\{90A52F08-64AC-4DC6-9D7D-4519700427D3}
HKEY_LOCAL_MACHINE\SOFTWARE\Enya\svrhost
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Enya.svrhost
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Enya.svrhost.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\svrhost.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{90A52F08-64AC-4DC6-9D7D-4519700427D3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6C51F7E9-8542-4F25-A30F-2019700427E1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{90A52F08-64AC-4DC6-9D7D-4519700427D3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BrowserHelperObjects\{C68AE9C0-0909-4DDC-B661-C11970042753}
3.修改win.ini文件,插入以下内容
[svrhost]
vercheck=1188957373
sqlcheck=1188957373
install=1188957373
4.使用sqlite来治理和更新自身数据库文件
hxxp://bar6.old5.com/xxx.zip
5.BHO浏览器,根据sqlite的搜索结果在后台弹广告,影响用户正常上网
hxxp://www.100x10000.com/xxxx.html
hxxp://baidu.3628.com
hxxp://www.xc100.com