病毒名称(中文):
赌徒
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
广告软件
病毒长度:
434453
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个广告木马程序。它采用了一些类似于灰鸽子的技术。病毒运行后会篡改IE浏览器默认首页,造成IE自动弹出一些莫名其妙的广告网页。
1.生成文件:
C:\DocumentsandSettings\LocalService\Favorites
C:\DocumentsandSettings\LocalService\Favorites\Desktop.ini
C:\DocumentsandSettings\LocalService\Favorites\链接
C:\WINDOWS\Helper32.DLL
C:\WINDOWS\Helper32.exe
2.删除病毒文件本身,生成Desktop.ini文件内容
[.ShellClassInfo]
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=-173
LocalizedResourceName=@shell32.dll,-12693
3.修改注册表,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HelperSvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HelperSvcTypedword:00000110
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HelperSvcStartdword:00000002
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HelperSvcErrorControldword:00000000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HelperSvcImagePathhex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,48,65,6c,70,65,72,33,32,2e,65,78,65,00,
HKEY_USERS\S-1-5-18\Software\Microsoft\InternetExplorer\ToolbarLockeddword:00000001
HKEY_USERS\S-1-5-18\Software\Microsoft\InternetExplorer\MainCheck_Associations"no"
4.该病毒运行后主要特征是主页被改,主页设置也变灰色了,被www.5***0.cn六合彩劫持了,一打开IE就不断的自动弹出一些莫名其妙的网页。