Win32.Troj.WebClient

病毒别名：Trojan.PSW.Mifeng.d[AVP]

处理时间：

威胁级别：★

中文名称：潜行隐者

病毒类型：木马

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:

传染条件:

发作条件:

系统修改:

A、将自制复制到：

"%System%<原始文件名>.exe"

"%SystemRoot%IsUninst.exe"

"%SystemRoot%IsUn0404.exe"

"%SystemRoot%IsUn0804.exe"

B、覆盖"%System%"目录下面的所有屏幕保护程序(*.scr)。

C、覆盖C:AUTOEXEC.BAT，内容为：

net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >>C:BOOTEX.LOG

试图停止Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" 服务

该命令会导致C盘要目录下生成一个C:BOOTEX.LOG文件

D、在注册表主键HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下新健健值：

"internet" = "%System%<原始文件名>.exe"

以便开机自动运行

E、修改文件关联，在注册表主键

HKEY_CLASSES_ROOT xtfileshellopencommand

HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopencommand

下将键值"(默认)"修改为

"(默认)" = "%System%<原始文件名>.exe" "%1""

系统默认值为：

"(默认)" = %SystemRoot%system32NOTEPAD.EXE %1

以便打开txt文件的时候启动病毒

F、将注册表主键HKEY_CURRENT_USERControl PanelDesktop下的键值改为：

"ScreenSaveActive" = 1

"ScreenSaveTimeOut" = 60

"SCRNSAVE.EXE" = "%System%sstext3d.scr"

以便在系统空闲一分钟后马上激活病毒(屏幕保护程序已经被病毒覆盖)

这几个键值的系统默认值为：

"ScreenSaveActive" = 0

"ScreenSaveTimeOut" = 900

"SCRNSAVE.EXE" = ""

发作现象:

A、关闭防火墙

B、打开2222端口(UDP)监听远程连接请求。

特别说明: