该病毒将自身复制到系统目录,加载自身到注册表启动项。设置时钟,每2分钟执行一次一下操作:修改注册表,将自身加载到启动项,修改IE主页、IE窗口标题,并锁定IE主页和注册表编辑器,使得用户难以修改;关闭一些常见的安全软件,如瑞星,天网防火墙,金山邮件网关,木马克星,噬菌体,ZoneAlarm等等,大大降低中毒机器的安全性能。
武器性能
病毒名称
病毒别名:
处理时间:
威胁级别:★★
中文名称:
病毒类型:木马
影响系统:Win9x/ WinNT
病毒行为
1.将自身复制为:%SystemRoot%HWS.exe.
2.修改注册表。
添加键值:
HKEY_LOCAL_MACHINESoftWareMicrosoftWindowsCurrentVersionRunServices
"hws"="%SystemRoot%hws.exe"
"url"="http://mm.dy17.com"
HKEY_CURRENT_USERSoftWareMicrosoftWindowsCurrentVersionRun
"hws"="%SystemRoot%hws.exe"
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
"Window Title"="http://mm.dy17.com"
"Start Page"="http://mm.dy17.com"
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain
"Window Title"="http://mm.dy17.com"
"Start Page"="http://mm.dy17.com"
HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerControl Panel
"HomePage"=dword:0x1
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem
"DisableRegistryTools"=dword:0x1
3.查找窗口名和窗口类为:
RavMon.exe
RavMonClass
天网防火墙个人版
TApplication
天网防火墙企业版
TForm1
木马克星
噬菌体
TfLockDownMain
ZoneAlarm
ZAFrameWnd
的窗口并关闭它们。
终止进程:
RavMon.exe
EGHOST.EXE
MAILMON.EXE
netbargp.exe
4.设置时钟,每2分钟执行一次2和3所述行为。
附件列表
词条内容仅供参考,如果您需要解决具体问题
(尤其在军事战略、军事时事等领域),建议您咨询相关领域专业人士。
如果您认为本词条还有待完善,请 编辑