金山毒霸2009
金山清理专家
专杀工具
在线杀毒
密保
网盾
系统急救箱
ARP防火墙
本病毒所有命名:
影响系统:
Win9x,WinMe,Linux
简介:
病毒运行之后, 会释放 C:WINDOWSsystem32随机名.dll C:WINDOWSsystem32随机名1.exe C:WINDOWSsystem32随机名2.exe 修改
行为分析:
这是一个广告间谍程序。它会将用户的IE浏览器指向到病毒作者指定的广告网页,同时还会收集用户的系统数据。
:
影响系统:
Win9x,WinMe,Linux
简介:
病毒运行之后, 会释放 C:WINDOWSsystem32随机名.dll C:WINDOWSsystem32随机名1.exe C:WINDOWSsystem32随机名2.exe 修改
行为分析:
这是一个广告间谍程序。它会将用户的IE浏览器指向到病毒作者指定的广告网页,同时还会收集用户的系统数据。
描述:
病毒运行之后,
会释放
C:WINDOWSsystem32随机名.dll
C:WINDOWSsystem32随机名1.exe
C:WINDOWSsystem32随机名2.exe
修改
C:WINDOWSsystem32winlogon.exe
改名
C:WINDOWSsystem32winlogon.exe--->winlogon12.exe
C:WINDOWSsystem32dllcachewinlogon.exe--->winlogon12.exe
修改注册表
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile]
"EnableFirewall"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"CheckedValue"="0"
这个病毒通过被感染的winlogon加载病毒dll,如果直接强制删除病毒dll,会导致winlogon.exe加载病毒dll失败而蓝屏,而病毒dll的功能为保护病毒exe和winlogon.exe,当exe被结束时立即重新从scheme.ini中读取exe名称,连接system32路径,运行病毒;当winlogon.exe被替换时,运行Windata中指向的原病毒体,再次修改winlogon.exe。
病毒会盗取用户信息,修改IE首页,自动更新。
病毒运行之后,
会释放
C:WINDOWSsystem32随机名.dll
C:WINDOWSsystem32随机名1.exe
C:WINDOWSsystem32随机名2.exe
修改
C:WINDOWSsystem32winlogon.exe
改名
C:WINDOWSsystem32winlogon.exe--->winlogon12.exe
C:WINDOWSsystem32dllcachewinlogon.exe--->winlogon12.exe
修改注册表
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStandardProfile]
"EnableFirewall"=dword:00000000
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"CheckedValue"="0"
这个病毒通过被感染的winlogon加载病毒dll,如果直接强制删除病毒dll,会导致winlogon.exe加载病毒dll失败而蓝屏,而病毒dll的功能为保护病毒exe和winlogon.exe,当exe被结束时立即重新从scheme.ini中读取exe名称,连接system32路径,运行病毒;当winlogon.exe被替换时,运行Windata中指向的原病毒体,再次修改winlogon.exe。
病毒会盗取用户信息,修改IE首页,自动更新。
回复
评论病毒
