Win32.Troj.Clicker.pa

病毒行為

:

該病毒為windows平台下的集於下載其它病毒、修改主頁和後台訪問指定網站的複合型病毒，病毒運行後複製自身為多個

偽系統正常程式，並將自身安裝成偽系統正常服務，以使用戶更難以發覺。同時病毒未經用戶允許強制修改用戶IE主頁；

網路可用時病毒嘗試訪問特定的網站，並通過網路進行病毒的自我更新操作。造成用戶機器不穩定。

病毒主要通過捆綁軟體和欺騙方式進行傳播。

1、複製自身為以下偽系統正常檔案:

%Windir%\system32\netstart.exe

%Windir%\system32\regshell.exe

%Windir%\system32\inetesvr.exe

%Windir%\system32\INTasks.exe

%Windir%\system32\lsas.exe

%Windir%\system32\svchest.exe

%Windir%\system32\service.exe

2、生成以下相關檔案:

%Windir%\system32\winpub.reg

%Windir%\system32\deleteme.bat

%Windir%\systems.exe

3、寫入以下註冊表項:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{340121DC-1BEF-1A77-0106-060207060704}]

"StubPath" = "%Windir%\system32\regshell.exe"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

"webService" = "%Windir%\systems.exe"

4、添加如下偽系統正常服務，使病毒開機後自動運行:

服務名: Remss_Ser

顯示名稱: Remote Managements Instrumenta

描述: 管理區域網路和遠程連線。如果此服務被禁用，任何依賴它的服務將無法啟動。

路徑: C:\WINNT\System32\netstart.exe -service

啟動方式: 自動

5、刪除以下註冊表鍵:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{340121DC-1BEF-1A77-0106-060207060704}]