频道直达 - 专题 - 新闻 - 技巧 - 组网 - 开发 - 安全 - web编程 - 图像 - 操作系统 - 数据库 - 教育 - 旅游 - 健康 - 时尚 - 驱动 - 软件 - 游戏 - 多媒体 - ERP - 讨论组
阅读排行榜 | 收藏此文 | 收藏本站 | 设为首页

Trojan.Win32.delf.ii

来源:rising 作者: 出处:巧巧读书 2006-03-06 进入讨论组
病毒分类   WINDOWS下的PE病毒 病毒名称   Trojan.Win32.delf.ii  
别    名      病毒长度    
依赖系统    传播途径     
行为类型   WINDOWS下的木马程序 感    染     
病毒发作  

1.病毒启动后将自己安装到 C:\Program Files\PornoTop 目录中(假设系统安装在c盘),并且会在c盘根目录下新建一个名为“windowssearch”的目录,然后向其中释放两个html文件

2.病毒在会每隔几秒中提示一个对话框,其中内容大致如下:
Your system infected!
Windows found high-rsk spyware on your computer!
For removing spyware please download and run spyware remover.
大概意思是说“当前的系统感染了恶性病毒,如果向删除病毒的后请下载和运行软件“spyware remover””
如果选择下载的话病毒就会连接下面的网页。
http://allinetsources.com/search/search.hp?q=spyware%20remover&said=newgen1p
如果选择忽略此消息的话病毒就会不停的提示。

3.病毒修改注册表如下:

修改IE的首页地址
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"start page" = C:\WINDOWSSEARCH\WINDOWSSEARCH.HTML

修改IE的网页地址前缀,也样每到输入一个网页地址的话都会在前面加上 “HTTP://HTPP.WS?”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
"www" = HTTP://HTPP.WS?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix
(默认) = HTTP://HTPP.WS?
添加一项启动项
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"PornoTop" = "C:\PROGRAM FILES\PORNOTOP\PTOP.EXE"


备    注



本文:http://www.qqread.com/virusdb/g722857207.html进入讨论组讨论。
更多专题 【深 度 阅 读】 相 关 文 章
收藏此文】【 】【打印】【关闭
较早的文章:Trojan.QQTail.af

较新的文章:Trojan.PSW.WHBoy.2005.r
相关图文阅读
频道图文推荐
健 康 咨 询
时 尚 咨 询
巧巧读书宗旨
相关专题
更多排行>>
讨论组问题推荐
站内各频道最新更新文档
站内最新制作专题
热门关键字导读
Photoshop教 程照片处理 照片制作 PS快捷键 抠图
计 算 机 故 障XP系统修复
艺 术 与 设 计设计 流媒体 设计欣赏 边框
计 算 机 安 全ARP
站内频道文章精选
新闻资讯
操作系统
桌面开发
数据库
电脑技巧
常用软件
网络程序开发
图像处理
巧巧电脑频道编辑信箱  告诉我们您想看的专题或文章