本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1.生成文件： C:Documents and SettingsLocalServiceFavorites C:Documents and SettingsLocalServiceFavoritesDesktop.ini C:Documents and SettingsLocalServiceFavorites链接

行为分析：
这是一个广告木马程序。它采用了一些类似于灰鸽子的技术。病毒运行后会篡改IE浏览器默认首页，造成IE自动弹出一些莫名其妙的广告网页。

描述：
1.生成文件：

C:Documents and SettingsLocalServiceFavorites

C:Documents and SettingsLocalServiceFavoritesDesktop.ini

C:Documents and SettingsLocalServiceFavorites链接

C:WINDOWSHelper32.DLL

C:WINDOWSHelper32.exe



2.删除病毒文件本身，生成Desktop.ini文件内容

[.ShellClassInfo]

IconFile=%SystemRoot%system32SHELL32.dll

IconIndex=-173

LocalizedResourceName=@shell32.dll,-12693



3.修改注册表，

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHelperSvc

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHelperSvc Type dword:00000110

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHelperSvc Start dword:00000002

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHelperSvc ErrorControl dword:00000000

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHelperSvc ImagePath hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,48,65,6c,70,65,72,33,32,2e,65,78,65,00,

HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerToolbar Locked dword:00000001

HKEY_USERSS-1-5-18SoftwareMicrosoftInternet ExplorerMain Check_Associations "no"



4.该病毒运行后主要特征是主页被改，主页设置也变灰色了，被www.5***0.cn 六合彩劫持了，一打开IE就不断的自动弹出一些莫名其妙的网页。