本病毒所有命名：

影响系统：
Win9x,WinMe,Linux

简介：
1. 创建线程用于创建桌面以及窗口，循环接收消息，当接收到特定消息时退出线程

行为分析：
这是一个诈骗型的下载器程序。它会令用户的浏览器登录到指定网页，然后欺骗用户说电脑中有病毒，要求用户下载一个所谓的“杀毒软件”，它其实是个间谍软件。

描述：
1. 创建线程用于创建桌面以及窗口，循环接收消息，当接收到特定消息时退出线程

2. 检查感染的机器是否是WINDOWS NT，若不是则在TEMP目录上创建脚本自删除

3. 增加注册表值HKEY_CURRENT_USERWeb Technologies，名称为Path，值为当前路径

4. 释放C:Program FilesWeb Technologiesiebr.dll文件，加载并调用其中的DllRegisterServer导出函数

5. 通过火狐浏览器目录下的MozillaFirefoxprofiles.ini文件，找到并改写prefs.js文件，将自身资源中的search.dll释放并替换上去

6. 修改注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMap下面的内容，将一些网址设置为访问受限7. 修改注册表HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsoneMapRanges下面的内容，将一些网段设置为不可访问，具体网段如下：

194.187.*.*

195.95.*.*

195.225.*.*

205.177.*.*

205.188.*.*

216.239.*.*

66.230.*.*

66.235.*.*

69.31.*.*

69.50.*.*

70.84.*.*

81.9.3.*

81.95.*.*

82.179.*.*

216.195.*.*

202.71.102.*

79.143.178.*

88.255.74.*

213.189.27.*

72.21.53.*

195.93.218.*

89.149.226.*

78.129.166.*

78.129.158.*

217.170.77.150

64.202.189.170

72.36.152.*

78.129.208.*

91.203.70.*

77.92.88.*

8. 修改注册表HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerNew WindowsAllow下面的内容，将有以下后缀的网址设置为禁止访问：

*.securewebinfo.com

*.safetyincludes.com

*.securemanaging.com

9. 在IE中添加对应的工具条，卸载广告的链接为http://www.s***refr****nks.com/test/?c=306，删除扫描的链接为http://www.use***oc***line.com/doc.php?type=file，但对应的网页不正常，会提示本地有病毒，提示下载其“反病毒安装程序”