Win32.Troj.Clicker.pa

病毒別名: 處理時間:2006-09-06 威脅級別:★

中文名稱: 病毒類型:木馬 影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

基本介紹

  • 中文名:Win32.Troj.Clicker.pa
  • 病毒類型:木馬
  • 影響系統:Win 9x/ME,Win
  • 處理時間:2006-09-06
病毒行為,傳播途徑,

病毒行為

:
該病毒為windows平台下的集於下載其它病毒、修改主頁和後台訪問指定網站的複合型病毒,病毒運行後複製自身為多個
偽系統正常程式,並將自身安裝成偽系統正常服務,以使用戶更難以發覺。同時病毒未經用戶允許強制修改用戶IE主頁;
網路可用時病毒嘗試訪問特定的網站,並通過網路進行病毒的自我更新操作。造成用戶機器不穩定。

傳播途徑

病毒主要通過捆綁軟體和欺騙方式進行傳播。
1、複製自身為以下偽系統正常檔案:
%Windir%\system32\netstart.exe
%Windir%\system32\regshell.exe
%Windir%\system32\inetesvr.exe
%Windir%\system32\INTasks.exe
%Windir%\system32\lsas.exe
%Windir%\system32\svchest.exe
%Windir%\system32\service.exe
2、生成以下相關檔案:
%Windir%\system32\winpub.reg
%Windir%\system32\deleteme.bat
%Windir%\systems.exe
3、寫入以下註冊表項:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{340121DC-1BEF-1A77-0106-060207060704}]
"StubPath" = "%Windir%\system32\regshell.exe"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"webService" = "%Windir%\systems.exe"
4、添加如下偽系統正常服務,使病毒開機後自動運行:
服務名: Remss_Ser
顯示名稱: Remote Managements Instrumenta
描述: 管理區域網路和遠程連線。如果此服務被禁用,任何依賴它的服務將無法啟動。
路徑: C:\WINNT\System32\netstart.exe -service
啟動方式: 自動
5、刪除以下註冊表鍵:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{340121DC-1BEF-1A77-0106-060207060704}]
6、系統為WinNT/2k/xp/2003時,病毒通過查找窗體類名為:"Shell_TrayWnd" 的方式定位explorer進程,然後通過explorer訪問相關網站並進行病毒更新。
7、病毒通過修改以下註冊表項強制設定用戶ie主頁:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page" = "http://vod.mmdy.org"
"Start Page" = "http://vod.mmdy.org"
8、運行如下相關命令訪問相關的網站頁面:
Explorer.exe http://vod.mmdy.org/
Explorer.exe http://vod.mmdy.org/news
Explorer.exe http://vod.mmdy.org/goodvip
Explorer.exe http://vod.mmdy.org/mm
Explorer.exe http://vod.mmdy.org/mp3
Explorer.exe http://vod.mmdy.org/sp
Explorer.exe http://vod.mmdy.org/yx
Explorer.exe http://vod.mmdy.org/zz
9、病毒同時通過以下連結進行病毒的自我更新操作:
http://vod.mmdy.org/guest.exe
10、病毒通過修改以下註冊表項使用戶中毒後無法打開註冊表編輯器:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
11、同時病毒修改註冊以下項目的使用戶無法在IE設定中修改主頁:
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001
"Settings"=dword:00000001
"Links"=dword:00000001
"SecAddSites"=dword:00000001

熱門詞條

聯絡我們