危险级别:低
病毒危害:
1.会修改Outlook Express Settings,使得OE能自动向外传播一个链接地址;
2.威胁安全设置:会将IE及Navigator浏览器的起始页设置成一个色情URL。
技术特征:
这是一个木马程序,会在C:Program Files文件夹下生成Sign.htm文件。该文件是一个标准的Html文件,它会打开一个连接至rawtocash.net站点的链接。之后,它会将Sign.html插入到默认的Outlook Express签名中。每次被感染机器利用Outlook Express向外发送邮件时,都会含有该恶意代码文件。它是通过如下步骤实现此功能的:
1.向注册表HKEY_CURRENT_USERIdentities[Default User ID]SoftwareMicrosoftOutlook Express5.0signatures添加键值Default Signature 10101010
2.创建注册表键HKEY_CURRENT_USERIdentities[Default User ID]SoftwareMicrosoftOutlook Express5.0signatures10101010
并设置键值:
file c:Program Filessign.htm
name signature
type 2
3.向注册表键HKEY_CURRENT_USERIdentities[Default User ID]SoftwareMicrosoftOutlook Express5.0添加键值Signature Flags 3。
另外,此木马还会修改IE及Navigator浏览器的起始页,步骤如下:
1.将注册表键HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain设置键值Start Page http://www.rawtocash.net/adv/sex.htm
2.将注册表键HKEY_CURRENT_USERSoftwareNetscapeNetscape NavigatorMain设置键值Home Page http://www.rawtocash.net/adv/sex.htm
同时会将如下站点添加至Internet浏览器中:
SEXXX. Totaly Teen http:/ /www.rawtocash.net/adv
Make BIG Money http:/ /www.rawtocash.net
6544 Search Engines Submission http:/ /www.rawtocash.net/submit
病毒的清除法: 使用光华反病毒软件,彻底删除。 病毒演示: 病毒FAQ: 浏览器起始页被改成色情站点 新病毒Fortnight问世.
发现日期: 2002-5-14
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
