Win32.Troj.WebClient

基本信息

病毒別名：Trojan.PSW.Mifeng.d[AVP]

系統修改:

A、將自製複製到：

"%System%<原始檔案名稱>.exe"

"%SystemRoot%IsUninst.exe"

"%SystemRoot%IsUn0404.exe"

"%SystemRoot%IsUn0804.exe"

B、覆蓋"%System%"目錄下面的所有螢幕保護程式(*.scr)。

C、覆蓋C:AUTOEXEC.BAT，內容為：

net stop "Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" >>C:BOOTEX.LOG

試圖停止Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)" 服務

該命令會導致C糟要目錄下生成一個C:BOOTEX.LOG檔案

D、在註冊表主鍵HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下新健健值：

"internet" = "%System%<原始檔案名稱>.exe"

以便開機自動運行

E、修改檔案關聯，在註冊表主鍵

HKEY_CLASSES_ROOT xtfileshellopencommand

HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopencommand

下將鍵值"(默認)"修改為

"(默認)" = "%System%<原始檔案名稱>.exe" "%1""

系統默認值為：

"(默認)" = %SystemRoot%system32NOTEPAD.EXE %1

以便打開txt檔案的時候啟動病毒

F、將註冊表主鍵HKEY_CURRENT_USERControl PanelDesktop下的鍵值改為：

"ScreenSaveActive" = 1

"ScreenSaveTimeOut" = 60

"SCRNSAVE.EXE" = "%System%sstext3d.scr"

以便在系統空閒一分鐘後馬上激活病毒(螢幕保護程式已經被病毒覆蓋)