Win32.Troj.Agent.yf.141824

病毒名稱(中文): AUTO下載者141824 病毒別名: 威脅級別: ★☆☆☆☆ 病毒類型: 木馬下載器 病毒長度: 141824 影響系統: Win9xWinMeWinNTWin2000WinXPWin2003 病毒行爲: 這是一個可以通過U盤傳播的木馬病毒。病毒運行後會在硬盤每個分區下生成U盤病毒，然後通過修改注冊表以更改用戶浏覽器默認 首頁，病毒會加載一個用任務治理器無法查看的隱藏進程msn.exe，每隔一段時間檢查硬盤分區的autorun.inf和msn.exe是否存在，不 存在則還原，並在後台嘗試連接遠程服務器下載病毒文件安裝至本地計算機。 1.在硬盤每個分區下生成文件 {盤符}\autorun.inf {盤符}\msn.exe 2.生成注冊表項 HKEY_CURRENT_USER\Software\VBandVBAProgramSettings\adtuosa\flag msnexe3 "yes" HKEY_CURRENT_USER\Software\VBandVBAProgramSettings\microsoft\msncom itime "{木馬運行時間}" 3.修改注冊表項 HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main StartPage "about:blank" "http://www.baidu.com/index.php?tn=dsgj_cb" 4.病毒會修改浏覽器首頁爲以下網址 http://www.baidu.com/index.php?tn=dsgj_cb 5.病毒文件使用文件夾圖標，用戶有可能會把它當成目錄造成誤點擊 6.加載一個用任務治理器無法查看的隱藏進程msn.exe，每隔一段時間檢查硬盤分區的autorun.inf和msn.exe是否存在，不存在則還原，所以 清除前必須先用IceSword之類的工具結束掉此隱藏進程才行 7.嘗試連接遠程服務器下載病毒文件安裝至本地計算機 http://n**ad.tu**a.com/**x/x****a.exe 8.嘗試連接遠程計數網站統計受害的數量