Win32.Troj.WinShow.g

病毒别名：

处理时间：

威胁级别：★

中文名称：广告家

病毒类型：木马

影响系统：Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

病毒行为:

编写工具:VC6.0，UPX压缩

传染条件:隐藏在JAR文件中，欺骗用户运行，利用JAVA虚拟机的漏洞;或是通过网页上的VBScript来传播。

发作条件:IE启动就会被运行

系统修改:

A、在注册表中添加一下键值：

HKEY_CLASSES_ROOTclsid{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}

HKEY_CLASSES_ROOTclsid{6cc1c91a-ae8b-4373-a5b4-28ba1851e39a}

HKEY_CLASSES_ROOTsoftwaremicrosoftwindowscurrentversionexplorerrowser helper objects{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}

HKEY_CLASSES_ROOTwinlink.viewsource

HKEY_CLASSES_ROOTwinlink.viewsource.1

HKEY_CLASSES_ROOTwinshow.viewsource

HKEY_CLASSES_ROOTwinshow.viewsource.1

HKEY_CURRENT_USERsoftwarewinshow

HKEY_LOCAL_MACHINEclsid{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}

HKEY_LOCAL_MACHINEsoftwareclassesclsid{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}

HKEY_LOCAL_MACHINEsoftwareclassesclsid{6cc1c91a-ae8b-4373-a5b4-28ba1851e39a}

HKEY_LOCAL_MACHINEsoftwareclasseswinshow.viewsource

HKEY_LOCAL_MACHINEsoftwareclasseswinshow.viewsource.1

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionexplorerrowser helper objects{6cc1c918-ae8b-4373-a5b4-28ba1851e39a}

HKEY_LOCAL_MACHINEsoftwaremicrosoftwindowscurrentversionuninstallwinshow

B、添加如下文件：

c:documents and settingsall usersstart menumsupdater.exe

%profilepath%application datawinlinkkeywords.dat

%profilepath%application datawinlinkwinlink.dll

%profilepath%application datawinshowdict.dat

%profilepath%application datawinshowwinshow.dll

%SystemRoot%system32winshow.dll

%SystemRoot%systemwinshow.dllmshp.dll

注：%profilepath%表示c:documents and settings下的当前用户文件夹；%System%表示系统文件夹。

C、修改IE起始主页以及搜索起始页，而弹出广告窗口。

发作现象:

A、在Win9x/WinMe/WinNT/Win2000的系统下，当使用IE打开一个网页时，如果网页中包含制定的词语，则它会弹出一个与该词语相关的广告窗口，这些广告是由00hq.com 与 8ad.com网站提供的。

B、在WinXP/Win2003的系统下，当使用IE时，将会触发一个错误报告，并强制关闭IE。

特别说明: