Win32.Troj.CWS.b
病毒别名:
处理时间:
威胁级别:★
中文名称:
病毒类型:木马
影响系统:Win9x / WinNT
病毒行为:
该病毒是一个广告木马,当然用户感染该病毒时,它会修改用户机器的IE设置,并修改注册表使病毒自身自动运行.
1.当该病毒运行时,它全释放以下文件
mt.exe
popup_bl.dll
serch_hook.dll
setup.exe
toolband_atl.dll
2.创建以下注册表项
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main "Enable Browser Extensions" = "yes"
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main "Use Search Assistant" = "yes"
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main "Use Search Asst" = "no"
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\SearchUrl "(Default)" = "http://www.v73.us"
HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\URLSearchHooks "{C7EDAB2E-D7F9-11D8-BA48-C79B0C409D70}"
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Toolbar "{815A82AE-CDEF-11D8-BA48-A6D245798277}" = "Popup Blocker 17.08.04"
3.修改HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Search
的 "SearchAssistant"的值为 "http://www.v73.us/search.htm"
4.增加以下项
xp_system" = "%Windir%\\inet10050\\services.exe"
到
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
5.当IE启动时打开广告网页