计算机爱好者,学习计算机基础,电脑入门,请到本站,我站同时提供计算机基础知识教程,计算机基础知识试题供大家学习和使用), “>病毒类型:木马程序
感染长度:23598字节
危害级别:低
传播速度:中
病毒特征:
该病毒运行后会:
(1)复制两个自己的拷贝到Windows目录下,并分别命名为winupdate.exe和winver.exe。
(2)生成一个名为hosts的文件,若用户的系统为Win9x,该文件会复制到windows目录下,若用户的系统为WinNt,则会复制到WinNtsystem32driversetchosts下,以代替IE的部分域名解析。这样当用户在IE浏览器中输入一些常用的网址时,实际上会进入木马程序所指定的网页。
(3)修改注册表,使HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为””%windows%winver.exe %windows%NOTEPAD.EXE %1″”,以关联记事本,当用户打开txt文件时木马程序获得运行机会;使HKEY_CLASSES_ROOTexefileshellopencommand的默认键值为””%windows%winupdate.exe %1 %*””,当用户执行exe文件时木马程序获得运行机会。(其中%windows%为Windows目录)
(4)修改注册表,使IE浏览器的默认页,主页,搜索页等均指向http://ajim.delphibbs.com。
(5)该木马会利用QQ程序向其它的QQ用户发送诸如“http://freesite.wx-e.com/WebFile/go…眯Φ摹钡南ⅰ?/a>
(6)另外,如果用户在Windows目录执行文件名中含有字母“v”的木马程序或在非Windows目录中再次执行该木马程序时,它会弹出一个内容为“发现你使用盗版拷贝,已上交公安部处理!”的对话框,并尝试将自己删除。
手工清除方法:
(1)在98下重新启动到DOS下,进入Windows目录,删除掉Windows目录下的winupdate.exe和winver.exe文件,并将regedit.exe文件改名为regedit.com,然后重新进入Windows,打开注册表编辑器。
(2)在2000下先打开注册表编辑器,然后用任务管理器关掉正在运行的名为winupdate和winver的木马程序,并到winnt目录下将它们删除。
(3)在注册表编辑器中找到HKEY_CLASSES_ROOTtxtfileshellopencommand,将其默认键值改为””Notepad.exe %1″”;找到HKEY_CLASSES_ROOTexefileshellopencommand,将其默认键值改为””%1″” %*。
(4)恢复IE的设置。打开注册表编辑器,恢复HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainStart Page,HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL,HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainCustomizeSearch,HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainSearchAssistant,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainDefault_Page_URL,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainCustomizeSearch,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainSearchAssistant的设置为原来的内容。(可下载金山毒霸的注册表修复工具进行自动修复)
(5)删除掉木马程序生成的hosts文件。
”
