病毒名稱Trojan.Sckiss.23598
瀏覽次數:|更新日期:2015年03月07日
計算機愛好者�����,學習計算機基礎����,電腦入門,請到本站����,我站同時提供計算機基礎知識教程����,計算機基礎知識試題供大家學習和使用)���, “>病毒類型:木馬程序
?�。牐牳腥鹃L度:23598字節
危害級別:低
?�。牐爞鞑ニ俣龋褐?br />
?���。牐牪《咎卣鳎?br />
該病毒運行后會:
?����。牐?1)復制兩個自己的拷貝到Windows目錄下����,并分別命名為winupdate.exe和winver.exe��。
(2)生成一個名為hosts的文件����,若用戶的系統為Win9x���,該文件會復制到windows目錄下���,若用戶的系統為WinNt�����,則會復制到WinNtsystem32driversetchosts下,以代替IE的部分域名解析��。這樣當用戶在IE瀏覽器中輸入一些常用的網址時���,實際上會進入木馬程序所指定的網頁����。
?����。牐?3)修改注冊表��,使HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為””%windows%winver.exe %windows%NOTEPAD.EXE %1″”,以關聯記事本����,當用戶打開txt文件時木馬程序獲得運行機會;使HKEY_CLASSES_ROOTexefileshellopencommand的默認鍵值為””%windows%winupdate.exe %1 %*””���,當用戶執行exe文件時木馬程序獲得運行機會���。(其中%windows%為Windows目錄)
?��。牐?4)修改注冊表����,使IE瀏覽器的默認頁����,主頁,搜索頁等均指向http://ajim.delphibbs.com。
?����。牐?5)該木馬會利用QQ程序向其它的QQ用戶發送諸如“http://freesite.wx-e.com/WebFile/go…瞇Φ摹鋇南ⅰ?/a>
?�。牐?6)另外�����,如果用戶在Windows目錄執行文件名中含有字母“v”的木馬程序或在非Windows目錄中再次執行該木馬程序時���,它會彈出一個內容為“發現你使用盜版拷貝����,已上交公安部處理!”的對話框,并嘗試將自己刪除���。
手工清除方法:
?�。牐牐牐?br />
?��。牐?1)在98下重新啟動到DOS下���,進入Windows目錄��,刪除掉Windows目錄下的winupdate.exe和winver.exe文件��,并將regedit.exe文件改名為regedit.com����,然后重新進入Windows�����,打開注冊表編輯器��。
(2)在2000下先打開注冊表編輯器��,然后用任務管理器關掉正在運行的名為winupdate和winver的木馬程序��,并到winnt目錄下將它們刪除。
(3)在注冊表編輯器中找到HKEY_CLASSES_ROOTtxtfileshellopencommand����,將其默認鍵值改為””Notepad.exe %1″”;找到HKEY_CLASSES_ROOTexefileshellopencommand�����,將其默認鍵值改為””%1″” %*。
?����。牐?4)恢復IE的設置�����。打開注冊表編輯器�����,恢復HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainStart Page,HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainDefault_Page_URL,HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainCustomizeSearch����,HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMainSearchAssistant����,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainStart Page����,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainDefault_Page_URL,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainCustomizeSearch,HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMainSearchAssistant的設置為原來的內容。(可下載金山毒霸的注冊表修復工具進行自動修復)
(5)刪除掉木馬程序生成的hosts文件����。
”
