Win32.Troj.CWS.b

病毒别名：

处理时间：

威胁级别：★

中文名称：

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

该病毒是一个广告木马,当然用户感染该病毒时,它会修改用户机器的IE设置,并修改注册表使病毒自身自动运行.

1.当该病毒运行时,它全释放以下文件

mt.exe

popup_bl.dll

serch_hook.dll

setup.exe

toolband_atl.dll

2.创建以下注册表项

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main "Enable Browser Extensions" = "yes"

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main "Use Search Assistant" = "yes"

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main "Use Search Asst" = "no"

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\SearchUrl "(Default)" = "http://www.v73.us"

HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\URLSearchHooks "{C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70}"

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Toolbar "{815A82AE-CDEF-11D8-BA48-A6D245798277}" = "Popup Blocker 17.08.04"

3.修改HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Search

的 "SearchAssistant"的值为 "http://www.v73.us/search.htm"

4.增加以下项

xp_system" = "%Windir%\\inet10050\\services.exe"

到

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

5.当IE启动时打开广告网页