概述
TrojanClicker.Clickaire.c
病毒長度:不定
病毒類型:木馬影響系統:Win9X/2000/XP/NT/Me
TrojanClicker.Clickaire.c更改IE默認頁、搜尋頁使其連線到一些色情網站。
操作
此病毒一旦運行,有如下操作:
1.生成檔案Excel10.dll,系統不同,路徑不同:
Windows 95/98/Me:
C:\Windows\Application Data\Microsoft\Office\Excel10.dll
Windows NT/2000/XP:
C:\Documents and Settings\<user name>\Application Data\Microsoft\Office\Excel10.dll
並註冊為瀏覽器的幫助對象,且IE需要4.0以上的版本。
2.修改主機檔案使其指向特定的網站。
3.在註冊表HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下添加Local Page="http:/ /www.idgsearch.com/"
Search Page="http:/ /www.idgsearch.com/"
Search Page_bak="http:/ /www.idgsearch.com/"
SearchURL="http:/ /www.idgsearch.com/"
Start Page="http:/ /www.idgsearch.com/"
Start Page_bak="http:/ /www.idgsearch.com/"
Search Bar="http:/ /www.2020search.com/search/9884/search.html"鍵值。
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search下添加CustomizeSearch="http:/ /www.idgsearch.com/"
SearchAssistant="http:/ /www.2020search.com/search/9884/search.html"鍵值。
4.在註冊表下創建如下鍵:
HKEY_CLASSES_ROOT\CLSID\
HKEY_CLASSES_ROOT\Interface\
HKEY_CLASSES_ROOT\SearchWord.ExcelExport
HKEY_CLASSES_ROOT\SearchWord.ExcelExport.1
HKEY_CLASSES_ROOT\TypeLib\
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID\{17DA0C9E-4A27-4ac5-BB75-5D24B8CDB972
HKEY_LOCAL_MACHINE\Software\CLASSES\Interface\
HKEY_LOCAL_MACHINE\Software\CLASSES\SearchWord.ExcelExport
HKEY_LOCAL_MACHINE\Software\CLASSES\SearchWord.ExcelExport.1
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib\
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\
Browser Helper Ojects\
5.搜尋下列檔案,一旦發現立即刪除:
bootconf.exe Browserhelper.dll ctfmon32.exe Default.css
Dnse.dll Dnserr.dll Dnsrelay.dllDreplace.dll
Iedll.exe Ld.exe Loader.exe Msspi.dll Mssys.exe
My.css Svc.exe Svchost32.exe svcinit.exe
Svcpack.exe Sys.reg Winlink.dll
Winshow.dll Xplugin.dll\Fonts\Msoffice.hta \Temp\Addclass.exe
\Web\oslogo.bmp \Web\win.def \Winshow\Winshow.dll
6.刪除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce下的nvstart
7.刪除註冊表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的AddClass CTFMON32.EXE iedll Internat Conf loader
Msoffice mssys nvstart svc svchost.exe sys
sysPnP tapicfg.exe等。
