病毒簡介
病毒別名:處理時間:
威脅級別:★★
中文名稱:
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為
該病毒通過QQ進行傳播。病毒運行後會阻止金山毒霸、天網、3721AntiTrojan等多種安全軟體。病毒還會修改瀏覽器的默認首頁為www.joy***.com。病毒會添加多個啟動項、修改程式關聯。用戶一旦染毒,手動清除比較麻煩。1、病毒將自身複製到以下位置:
%systemRoot%\SVOHOST.EXE
%System%\commamd.exe
%System%\he1p.exe(1為數字1,不是字母L)
%System%\lsasa.exe
2、添加註冊項
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"ctfnom.exe" ="%systemRoot%\SVOHOST.EXE"
以保證開機時能夠運行病毒
3、修改註冊項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe commamd.exe"
以保證開機時能夠運行病毒
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page" = "http://www.joy**.com"
修改用戶瀏覽器首頁,並禁止用戶修改主頁內容
HKEY_CLASSES_ROOT\exefile\shell\open\command
默認 = %System%\he1p.exe "%1" %*
修改EXE關聯,使得每運行一個執行檔,病毒都會運行
4、創建以下互斥量,以阻止安全軟體運行
KingsoftAntivirusScanProgram7Mutex
SKYNET_PERSONAL_FIREWALL
ASSISTSHELLMUTEX
AntiTrojan3721
5、關閉含有以下字元的視窗
qqkav
綠鷹PC
防火牆
網鏢
防毒
QQAV
病毒
木馬
進程
註冊表
Windows 任務管理器
6、通過QQ傳送有病毒體,並且傳送以下信息以迷惑用戶:
快接啊,才找到的,精典啊
接收,是我發的檔案,放心不是病毒
別人剛傳給我的,真的很不錯
快接收啊,好東西
你朋友叫我給你的,快點接收啊
你上次問我要的東西,還要不要了
這個動畫短片真的很不錯,你看看
看看錄像里的人是誰,你肯定大吃一驚
不接你要後悔的,絕對是精品
快收,很精彩的片段
