病毒名称(中文):
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
文件捆绑器
病毒长度:
135168
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个捆绑型病毒。该病毒运行成功后,会自行删除病毒源文件,并且生成众多被捆绑的
雅虎工具在系统目录下。并且修改了启动项,使用户每次打开机器都会触发病毒。浏览器的工具栏会添加
许多病毒捆绑的雅虎工具。
1.病毒运行后,产生以下病毒文件
在"开始"菜单里会添加雅虎的大量相关文件;
在%ProgramFiles%下添加"Yahoo!"文件夹;
%windows%\system32\jshelp.exe
%windows%\system32\10g78D10.dll
%windows%\system32\jsshow.dll
%widnows%\system32\UIXMEUJYODTHXM.DLL
%windows%\system32\drivers\jshelp.drv
%windows%\system32\drivers\jsshow.drv
%windows%\system32\wbem\WKYPHXMCSIXMCSH.MDA
%windows%\system32\wbem\WMCTMDTKBRHXOD.DLL
2.当病毒成功运行时,病毒源文件会自行删除。
3.在注册表项,也被病毒添加了许多被病毒捆绑的雅虎相关项。
4.当打开浏览器不久,病毒进程yassistse.exe会自动运行。
5.在浏览器的工具栏中,由病毒添加了许多雅虎相关的按钮。
6.使用隐蔽软件扫描,可以看见,有"异常shell",说明shell被病毒修改。
7.启动项被添加了雅虎相关文件
启动项名:YLive.exe对应路径:C:\ProgramFiles\Yahoo!\Assistant\YLive.exe