Win32.Troj.Havedo.a

外文名 Win32.Troj.Havedo.a

請參照項目說明填寫。若某項不適合當前詞條，可留空。

威脅級別

★★

中文名稱

FoxPro檔案殺手

病毒類型

木馬

影響系統

Win9x / WinNT

該病毒會遍歷所有驅動器，如果當前驅動器是可移動磁碟，病毒就會將自己拷貝為Project.pjx.exe到該驅動器的所有目錄下（包括子目錄）。該病毒運行的時候會檢測當前系統時間是否為周六或周日並且是13:00以後，如果條件成立，該病毒就會破壞Visual FoxPro的相關檔案（如：.SCT、.pjx、.prg、.dbf、.doc等），將這些檔案填為空格。此外，該病毒還會修改IE瀏覽器的某些設定，使得用戶在使用IE瀏覽器的時候會出現一些錯誤。

1)病毒複製一個檔案名稱為“Project.pjx.exe”的檔案到可移動磁碟的每一個目錄下,該檔案執行後會釋放以下3個檔案：

%SystemRoot%\cmd.lnd （病毒副本）

%SystemRoot%\iexplorex.dll （病毒Win32.Troj.HavedoDll.a）

%System%\cmd.exe （該檔案是病毒釋放的，系統的cmd.exe已經被它覆蓋。該cmd.exe運行時只簡單顯示一個字元串“C:\>”來迷惑用戶）

2)修改IE瀏覽器的某些設定：

HKEY_CLASSES_ROOT\CLSID\\(Default)=""

HKEY_CLASSES_ROOT\CLSID\\InprocServer32\(Default)="%SystemRoot%\iexplorex.dll"

HKEY_CLASSES_ROOT\CLSID\\InprocServer32\ThreadingModel="Apartment"

HKEY_CLASSES_ROOT\iexplorex.IEHelper\(Default)=""

HKEY_CLASSES_ROOT\iexplorex.IEHelper\Clsid\(Default)=""

HKEY_CLASSES_ROOT\CLSID\\ProgID\(Default)="iexplorex.IEHelper"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue=0x0