Trojan-Clicker.Win32.VB.nx病屬木馬類。病毒運行後為偽裝自己,在運行後連線兩個網址,以達到掩人耳目的目的。當用戶沒有安裝騰訊QQ時,或沒有登入QQ時,病毒除了打開兩個網站視窗外,不做任何操作。當用戶登入QQ後,會向QQ好友傳送一段文字,誘騙用戶點擊一個名為h**p:\\www.h**.cn的網址,該網站含有病毒,病毒會延時運行,運行後,添加註冊表啟動項,以達到隨系統啟動的目的。該病毒對用戶有一定危害。
基本介紹
- 中文名:Trojan-Clicker.Win32.VB.nx
- 病毒類型:木馬類
- 危害等級:中
- 檔案長度:24,572位元組
病毒簡介,病毒描述,清除方案,
病毒簡介
檔案MD5:cfb784ed6b0eec7b3caca071d56e3dfa
公開範圍:完全公開
感染系統:Win9x以上所有版本
開發工具:Microsoft Visual Basic 5.0 / 6.0、
加殼類型:NSPack 3.x -> Liu Xing Ping
ASPack 2.12 -> Alexey Solodovnikov
病毒描述
行為分析:
1、該病毒運行後在系統目錄釋放檔案與病毒副本
%\system32\%N0TEPAD.EXE Trojan-Clicker.Win32.VB.nx
%\system32\% macromed
%\system\% cyjmnhfre.exe Trojan-Clicker.Win32.VB.nx
%\system\%N0TEPAD.EXE Trojan-Clicker.Win32.VB.nx
%\system\%win.dll
%\system\%windll.dll
%\Windir\%N0TEPAD.EXE Trojan-Clicker.Win32.VB.nx
2、新建註冊表項:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cyjmnhfre.exeMicrosoft Corporationc:\winnt\system\cyjmnhfre.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager\
3、病毒會嘗試連線下列網址:
H**p://www.1***i.com/
h**p://www.****-down.com/19.htm
4、病毒運行後會向當前用戶傳送實時性訊息,如今天是7月31日,會傳送如下內容:
“7月31是今年的七夕情人節,“當前用戶網名”,在這個特別的日子裡,祝你天天開心。今天送一朵電子玫瑰給特別的你,一定要記得我喔!
在瀏覽器中輸入下面地址就可下載這朵玫瑰
h b h h h.c n(去掉中間的空格)
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
與病毒名稱同名進程.
(2) 刪除病毒檔案
%\system32\%N0TEPAD.EXETrojan-Clicker.Win32.VB.nx
%\system32\% macromed
%\system\% cyjmnhfre.exeTrojan-Clicker.Win32.VB.nx
%\system\%N0TEPAD.EXETrojan-Clicker.Win32.VB.nx
%\system\%win.dll
%\system\%windll.dll
%\Windir\%N0TEPAD.EXETrojan-Clicker.Win32.VB.nx
(3) 恢復病毒修改的註冊表項目,刪除病毒添加的註冊表項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cyjmnhfre.exeMicrosoft Corporation%\winnt\system\%cyjmnhfre.exe
