計算機愛好者,學習計算機基礎,電腦入門,請到本站http://.,我站同時提供計算機基礎知識教程,計算機基礎知識試題供大家學習和使用), ˎ̥">病毒類型:木馬程序
感染長度:23598字節
危害級別:低
傳播速度:中
病毒特征:
該病毒運行後會:
(1)復制兩個自己的拷貝到Windows目錄下,並分別命名為winupdate.exe和winver.exe。
(2)生成一個名為hosts的文件,若用戶的系統為Win9x,該文件會復制到windows目錄下,若用戶的系統為WinNt,則會復制到WinNtsystem32driversetchosts下,以代替IE的部分域名解析。這樣當用戶在IE浏覽器中輸入一些常用的網址時,實際上會進入木馬程序所指定的網頁。
(3)修改注冊表,使HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為"%windows%winver.exe %windows%NOTEPAD.EXE %1",以關聯記事本,當用戶打開txt文件時木馬程序獲得運行機會;使HKEY_CLASSES_ROOTexefileshellopencommand的默認鍵值為"%windows%winupdate.exe %1 %*",當用戶執行exe文件時木馬程序獲得運行機會。(其中%windows%為Windows目錄)
(4)修改注冊表,使IE浏覽器的默認頁,主頁,搜索頁等均指向http://ajim.delphibbs.com。
(5)該木馬會利用QQ程序向其它的QQ用戶發送諸如“http://freesite.wx-e.com/WebFile/go…瞇Φ摹鋇南ⅰ?/a>
(6)另外,如果用戶在Windows目錄執行文件名中含有字母“v”的木馬程序或在非Windows目錄中再次執行該木馬程序時,它會彈出一個內容為“發現你使用盜版拷貝,已上交公安部處理!”的對話框,並嘗試將自己刪除。
手工清除方法:
(1)在98下重新啟動到DOS下,進入Windows目錄,刪除掉Windows目錄下的winupdate.exe和winver.exe文件,並將regedit.exe文件改名為regedit.com,然後重新進入Windows,打開注冊表編輯器。
(2)在2000下先打開注冊表編輯器,然後用任務管理器關掉正在運行的名為winupdate和winver的木馬程序,並到winnt目錄下將它們刪除。
(3)在注冊表編輯器中找到HKEY_CLASSES_ROOTtxtfileshellopencommand,將其默認鍵值改為"Notepad.exe %1";找到HKEY_CLASSES_ROOTexefileshellopencommand,將其默認鍵值改為"%1" %*。
(4)恢復IE的設置。打開注冊表編輯器,恢復HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainStart Page,HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL,HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainCustomizeSearch,HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainSearchAssistant,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainDefault_Page_URL,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainCustomizeSearch,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainSearchAssistant的設置為原來的內容。(可下載金山毒霸的注冊表修復工具進行自動修復)
(5)刪除掉木馬程序生成的hosts文件。