病毒别名：

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

该病毒将自身复制到系统目录，加载自身到注册表启动项。设置时钟，每2分钟执行一次一下操作：修改注册表，将自身加载到启动项，修改IE主页、IE窗口标题，并锁定IE主页和注册表编辑器，使得用户难以修改；关闭一些常见的安全软件，如瑞星，天网防火墙，金山邮件网关，木马克星，噬菌体，ZoneAlarm等等，大大降低中毒机器的安全性能。

1.将自身复制为：%SystemRoot%\\hws.exe.

2.修改注册表。

添加键值：

HKEY_LOCAL_MACHINE\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\RunServices\\

"hws"="%SystemRoot%\\hws.exe"

"url"="http://mm.dy17.com"

HKEY_CURRENT_USER\\SoftWare\\Microsoft\\Windows\\CurrentVersion\\Run\\

"hws"="%SystemRoot%\\hws.exe"

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main\\

"Window Title"="http://mm.dy17.com"

"Start Page"="http://mm.dy17.com"

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\

"Window Title"="http://mm.dy17.com"

"Start Page"="http://mm.dy17.com"

HKEY_CURRENT_USER\\Software\\Policies\\Microsoft\\Internet Explorer\\Control Panel\\

"HomePage"=dword:0x1

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\System\\

"DisableRegistryTools"=dword:0x1

3.查找窗口名和窗口类为：

RavMon.exe

RavMonClass

天网防火墙个人版

Tapplication

天网防火墙企业版

TForm1

木马克星

噬菌体

TfLockDownMain

ZoneAlarm

ZAFrameWnd

的窗口并关闭它们。

终止进程：

RavMon.exe

EGHOST.EXE

MAILMON.EXE

netbargp.exe

4.设置时钟，每2分钟执行一次2和3所述行为。