Win32.Troj.Masaji.ad

王朝百科·作者佚名 2010-01-27

病毒别名：处理时间：2006-09-06 威胁级别：★

中文名称：病毒类型：木马影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是个修改用户IE主页的病毒。

1、将自身复制到 %WINDOWS%system32Realplayer.exe 和 %WINDOWS%v20060830.rar。

2、不停的添加如下注册表项来使病毒自启动和修改IE首页为 http://www.7939.com/ ,且用户无法将其修改过来。

HKLMSoftwareMicrosoftWindowsCurrentVersionRunRealplayer.exe "%WINDOWS%system32Realplayer.exe"

HKCUSoftwareMicrosoftWindowsCurrentVersionRunRealplayer.exe "%WINDOWS%system32Realplayer.exe"

HKLMSoftwareMicrosoft NTWindowsCurrentVersionWinlogonShell "Explorer.exe %WINDOWS%system32Realplayer.exe"

HKCUSoftwareMicrosoftInternet ExplorerMainStart Page "http://www.7939.com/"

3、释放文件 %system%RavMon.dll 或 %system%Rsvtub.dll，并插入到explorer.exe进程中。

4、将病毒复制体插入到explorer.exe进程中使用户无法删除病毒体。

5、尝试关闭以下与计算机安全相关的软件的进程：

fint2005.exe

Unlocker.exe

unlockerassistant.exe

HijackThis.exe

DLLShow.exe

RogueCleaner.exe

DosTools.exe

Killbox.exe

uihost.exe

360safe.exe

360shell.exe

5、尝试检测瑞星注册表监控窗口并将其关闭；检测AVP的主动防御警报窗口，并向其发送"允许"按钮消息，使病毒躲过AVP的主动防御警报。

7、将以下网页中内容下载到一个bat文件中并执行。

http://update.***sky.com//command0830.html

http://***58com.com/830.html

8、从http://***58com.com/上下载文件到本机并执行。

9、该病毒可以自动更新。

10、自删除。