Trojan.Autex.b
2008-02-23 08:42:42来源:互联网 阅读 ()
VB写的病毒,一旦运行,病毒将复制自己到如下目录<以win98为例,其它系统也在相应目录>:
C:\AUTORUN.INF
C:\WINDOWS\AUTO.EXE
C:\AUTO.EXE
C:\PROGRAM FILES\AUTO.EXE
C:\WINDOWS\ALL USERS\DESKTOP\SYSBOY.EXE
C:\WINDOWS\ALL USERS\START MENU\PROGRAMS\启动\AUTO.EXE
C:\WINDOWS\DESKTOP\SYSGRIL.EXE
C:\WINDOWS\START MENU\PROGRAMS\启动\AUTO.EXE
修改注册表如下:
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Run
"%CURDIR%\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Run\EXPlorer
"C:\auto.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\RunServices\Explorer
"%CURDIR%\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\RunServices\Systry
"C:\Program Files\auto.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runonce\Systry
"%CURDIR%\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runonce\Systryt
"D:\auto.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runonceex\Systryt
"%CURDIR%\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runservicesonce\rundll32
"%CURDIR%\SYSBOY.exe"
HKLM\\Software\Microsoft\Windows\CurrentVersion
\Runservicesonce\rundll64
"%CURDIR%\SYSBOY.exe"
HKCU\\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION
\POLICiES\SYSTEM\disableregistrytools
0x313131 禁止使用注册表工具
HKLM\\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\
POLICiES\EXPLORER\nofolderoptions
0x313131 禁止打开文件夹选项
HKCU\\Software\Microsoft\Windows\CurrentVersion
\Policies\winoldapp\norealmode
0x313131 禁止进入实模式
HKCU\\Software\Microsoft\Internet Explorer
\Main\start page
" http://xxxwwwjjjhd.20forfree.com" 修改IE默认页
HKCU\\Software\Microsoft\Internet Explorer
\Main\first home page
" http://xxxwwwjjjhd.20forfree.com" 修改IE默认页
HKLM\\Software\CLASSES\Directory\shell\WinAMP.Play
\first home page
"用 Winamp 播放(&p)"
HKLM\\Software\CLASSES\Directory\shell\Winamp.Play
\command\first home page
"C:\WINDOWS\auto.exe"
HKLM\\Software\CLASSES\Directory\shell\Winamp.Enqueue
\first home page
"加入 Winamp 队列(&E)"
HKLM\\Software\CLASSES\Directory\shell\Winamp.Enqueue
\command\
first home page
"C:\auto.exe"
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Bookmark\first home page
"添加到 Winamp 的书签清单中(&B)"
HKLM\\Software\CLASSES\Directory\shell
\Winamp.Bookmark\command\
first home page
"D:\auto.exe"
HKCR\\txtfile\shell\open\command\first home page
"%CURDIR%\SYSBOY.exe"
HKCR\\swffile\shell\open\command\first home page
"C:\auto.exe"
HKCR\\mp3file\shell\open\command\first home page
"D:\auto.exe"
HKCR\\dllfile\shell\open\command\first home page
"E:\auto.exe"
HKCR\\htmfile\shell\open\command\first home page
"%CURDIR%\SYSBOY.exe"
病毒也将自动连接网站:
http://xxxwwwjjjhd.20forfree.com。
这是一种使用网络非法传播来骗钱的病毒,即所谓的“第四传媒”以病毒的形式散布网站信息,为自己作广告。
病毒运行后将在系统的右下角显示一个圆形窗口,点击后将弹出矩形窗口,显示广告信息,如发现此病毒,建议用户使用防火墙禁止135端口,使用光华反病毒软件进行全盘杀毒。
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: Windows下的PE病毒。
发现日期: 2003-11-24
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash