病毒别名:Trojan.Win32.VB.tc[AVP]
处理时间:
威胁级别:★★
中文名称:
病毒类型:木马
影响系统:Win9x / WinNT
病毒行为:
是一个木马病毒,该病毒会监视并记录用户的动作存储到一个DLL文件中,当该DLL文件达到一定大小的时候就将其发送到指定的邮箱,该病毒可能会导致JPEG格式的图片无法打开。
1)释放病毒副本:
%SystemRoot%\\Internet.exe
%System%\\EtHorse.dll
2)建立%SystemRoot%\\Wininit.ini:
[rename]
%SystemRoot%\\Internet.exe=%System%\\EtHorse.dll
%System%\\Image.exe=%System%\\EtImg.ocx
3)在当前目录下建立一个.dll文件EhKey.dll用来记录用户的动作。
4)添加启动项,更改.jpeg格式的关联:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
"Internet"="%SystemRoot%\\Internet.exe"
HKEY_CLASSES_ROOT\\Internet.jpg\\Shell\\Open\\Command
"@"="%System%\\Image.exe %1"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Internet.jpg\\Shell\\Open\\Command
"@"="%System%\\Image.exe %1"