Win32.Troj.Sola.693269 - 王朝网络宽屏版

病毒名称(中文):

WORD涂改液693269

病毒别名:

威胁级别:

★☆☆☆☆

病毒类型:

恶作剧程序

病毒长度:

693269

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个恶作剧木马程序。它能够利用AUTO技术进行传播，运行起来就会搜索电脑中全部的Word文档，将它们的后缀改为exe。不过，被改了后缀的Word文件并不会遭到破坏，依然可以打开

1.生成文件：

C:\WINDOWS\Fonts\HIDESELF..\Function.dll

C:\WINDOWS\Fonts\HIDESELF..\Regedit.reg

C:\WINDOWS\Fonts\HIDESELF..\sola.bat

C:\WINDOWS\Fonts\HIDESELF..\sola.sign

C:\WINDOWS\Fonts\HIDESELF..\solasetup

C:\WINDOWS\Fonts\HIDESELF..\solasetup\Autorun.inf

C:\WINDOWS\Fonts\HIDESELF..\solasetup\docpack.dll

C:\WINDOWS\Fonts\HIDESELF..\solasetup\EJPack.txt

C:\WINDOWS\Fonts\HIDESELF..\solasetup\exepack.dll

C:\WINDOWS\Fonts\HIDESELF..\solasetup\Function.dll

C:\WINDOWS\Fonts\HIDESELF..\solasetup\infect.bat

C:\WINDOWS\Fonts\HIDESELF..\solasetup\jpgpack.dll

C:\WINDOWS\Fonts\HIDESELF..\solasetup\KillVirus.TXT

C:\WINDOWS\Fonts\HIDESELF..\solasetup\LocalScan.bat

C:\WINDOWS\Fonts\HIDESELF..\solasetup\Rar.exe

C:\WINDOWS\Fonts\HIDESELF..\solasetup\readlnk.bat

C:\WINDOWS\Fonts\HIDESELF..\solasetup\RecentInf.bat

C:\WINDOWS\Fonts\HIDESELF..\solasetup\scan.bat

C:\WINDOWS\Fonts\HIDESELF..\solasetup\sleep.exe

C:\WINDOWS\Fonts\HIDESELF..\solasetup\SOLA.BAT

C:\WINDOWS\Fonts\HIDESELF..\solasetup\SolaKiller.rar

C:\WINDOWS\Fonts\HIDESELF..\solasetup\Tasks.xxx

C:\WINDOWS\Fonts\HIDESELF..\solasetup\TDPack.txt

C:\WINDOWS\Fonts\HIDESELF..\solasetup\TENBATSU.BAT

C:\WINDOWS\Fonts\HIDESELF..\solasetup\txtpack.dll

C:\WINDOWS\Fonts\HIDESELF..\svchost.exe

C:\WINDOWS\system32\rar.exe

C:\WINDOWS\system32\sleep.exe

C:\WINDOWS\Tasks\Tasks.job

2.修改注册表，

HKEY_USERS\S-1-5-21-1060284298-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICacheC:\WINDOWS\system32\mshta.exe"Microsoft(R)HTMLApplicationhost"

HKEY_USERS\S-1-5-21-1060284298-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICachec:\ProgramFiles\EpsilonSquared\InstallWatchPro\SOLA_2.0_221882537825809.bat"SOLA_2.0_221882537825809"

HKEY_USERS\S-1-5-21-1060284298-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICacheC:\WINDOWS\system32\cmd.exe"WindowsCommandProcessor"

HKEY_USERS\S-1-5-21-1060284298-1085031214-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICacheC:\WINDOWS\system32\shimgvw.dll"Windows图片和传真查看器"

3.该病毒运行后主要特征是将Word文档的后缀改为了exe，另外在每个盘下面也会有以下文件：

Autorun.inf和SOLA文件，SOLA文件夹下有一个Function.dll文件和一个SOLA.bat批处理文件（这些文件都是系统隐藏文件）。

该病毒的危害还不是很大，Word文件还能打开。