TrojanDownloader.Tooncom.h

TrojanDownloader.Tooncom.h是一个由Loader.exe和iedll.exe两个文件组成的木马。当iedll.exe 文件运行时，会搜索一些文件并将之删除，文件为C:\\Windows\\System32\\Drivers\\Etc\\Hosts

C:\\Windows\\Hosts

C:\\Winnt\\System32\\Drivers\\Etc\\Hosts

C:\\Winnt\\Hosts

D:\\Windows\\System32\\Drivers\\Etc\\Hosts

D:\\Windows\\Hosts

D:\\Winnt\\System32\\Drivers\\Etc\\Hosts

D:\\Winnt\\Hosts；删除后用66.40.16.131 livesexlist.com

66.40.16.131 lanasbigboobs.com

66.40.16.131 thumbnailpost.com

66.40.16.131 adult-series.com

66.40.16.131 www.livesexlist.com

66.40.16.131 www.lanasbigboobs.com

66.40.16.131 www.thumbnailpost.com

66.40.16.131 www.adult-series.com代替，导致用户在访问这些网站时被重定向至66.40.16.131；此外还尝试从tooncomics.com下载并执行文件Loader.exe。

当Loader.exe 文件被执行后，病毒会在注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer下添加"loader2"="1" "loaderGUID"="CLSID"键值，且修改注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Search Page

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Search Bar

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\SearchURL

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Search\\SearchAssistant下的数值，将IE首页更改为http:/ /thesten.com/main/sp.html；最后尝试从thesten.com下载并执行iedll.exe文件。并在用户喜欢的文件夹下添加

Series Hardcore Pics Sets and Movies.url

New Porn Pics everyday.url

Fully categories porn database. Enjoy.url信息。