病毒名称(中文):
覆盖广告机12288
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
广告软件
病毒长度:
12288
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个广告木马程序。它会下载一份地址列表,然后感染系统中的网页文件,使得用户在访问这些网页指向的网址时,被引导到地址列表中的网址。
病毒将自身复制至%systemroot%\system32\weiyuan.exe.
病毒通过查找窗口类名为"Progman",窗口标题名为"ProgramManager"来获取explorer.exe进程的PID.
病毒将自身作为插入explorer.exe的进程空间执行.
从后台下载http://147.232313.cn/down/Config.txt保存至%systemroot%\system32\windows.txt.
遍历系统上的文件,读取windows.txt的数据插入后缀名为".do、".htm"、".html"、".shtm"、"shtml"、"asp"、"aspx"、"php"、"jsp"、"cgi"、"xml"的文件.
病毒创建注册表Run启动项:
Key:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Value:"weiyuan"
Data:"%systemroot%\system32\weiyuan.exe"