病毒名称(中文):江湖医生45056
病毒别名:
威胁级别:★★☆☆☆
病毒类型:广告软件
病毒长度:45056
影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个广告软件。该病毒运行后会在IE浏览器中擅自添加搜索插件,还会挟持IE的页面指向病毒作者指定的广告网站,强迫用户浏览。
1.生成文件:
C:\virus\sbmdl.dll
C:\virus\sbsm.exe
这个文件路径是可变的,它是病毒样本所在的当前目录
2.修改注册表,实现开机自动运行
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
start "C:\virus\XX_308.exe"这项的值可变,指向样本的位置
添加服务
HKEY_CLASSES_ROOT\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}\InprocServer32
@ "C:\virus\sbmdl.dll"
设置用户IE的搜索页面
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}
URL "http://www.searchagate.com/index.php?b=1&t=0&q={searchTerms}"
挟持用户的IE的页面自动转到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}
Exec "http://www.gateietool.com/redirect.php"
3.该病毒运行后系统启动后,explorer.exe关闭重启,部分打开的文件程序都将在下一次周期中
消失,IE的搜索页面被转向,添加了搜索插件,还会偷偷挟持IE的页面指向
http://www.g**ei**ool.com。
