病毒概述

病毒性质

病毒行为

病毒概述

病毒别名：

处理时间：

威胁级别：★★

中文名称：陷阱

病毒类型：木马

影响系统：Win9x / WinNT

病毒性质

这是一个广告木马病毒。该病毒将浏览器的默认主页和默认搜索页修改为http://69.*.191.*/search.cgi?a12484，并将2个色情网站的链接Pornl.url和Teens Anal Fucking.url添加到浏览器的收藏夹中，此外该病毒还在注册表中添加启动项并将.EXE文件关联到病毒文件，使得每次系统启动和执行EXE文件的时候该病毒都会被执行一次。

病毒行为

1)将病毒拷贝到：

%SystemRoot%\\scvhost.exe

%SystemRoot%\\windbg.exe

2)在注册表中为病毒添加启动项：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"scvhost"="%SystemRoot%\\scvhost.exe"

3)修改.EXE文件的关联到病毒：

HKEY_CLASSES_ROOT\\exefile\\shell\\Open\\Command

默认="%SystemRoot%\\windbg.exe "%1" %*"

4)修改浏览器的默认主页和默认搜索页：

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main

"Start Page"="http://69.*.191.*/search.cgi?a12484"

"Search Page"="http://69.*.191.*/search.cgi?a12484"

"Search Bar"="http://69.*.191.*/search.cgi?b12484"

"Use Search Asst"="no"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main

"Start Page"="http://69.*.191.*/search.cgi?a12484"

"Search Page"="http://69.*.191.*/search.cgi?a12484"

"Search Bar"="http://69.*.191.*/search.cgi?b12484"

"Use Search Asst"="no"

5)在浏览器的收藏夹里建立2个色情网站的链接Pornl.url和Teens Anal Fucking.url

6)在HKEY_CURRENT_USER\\PROTOCOLS\\Handler\\its下删除键值"CSLID"并建立:

HKEY_CURRENT_USER\\PROTOCOLS\\Handler\\ms-its

"CSLID"=""

修改注册表键值：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Search

"SearchAssistant"="http://69.*.191.*/search.cgi?b12484"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\URL\\Prefixes

"www"="http://69.*.191.*/1/?"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\2

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Zones\\2

"1000"=0x00000000

"1004"=0x00000000

"1200"=0x00000000

"1201"=0x00000000

"1400"=0x00000000

"1402"=0x00000000

"1405"=0x00000000

"1406"=0x00000000

"1407"=0x00000000

"1609"=0x00000000

"1803"=0x00000000

"CurrentLevel"=0x00000000

"MinLevel"=0x00000000

"RecommendedLeve"=0x00000000