今日不幸,我的电脑中了torjan program,从网上查到资料如下:
病毒运行后,将创建下列文件(以Windows XP 系统为例):
c://program files//common files//iexplore.pif, 47274字节
c://program files//internet explorer//iexplore.com, 47274字节
c://windows//1.com, 47274字节
c://windows//debug//debugprogram.exe, 47274字节
c://windows//exeroute.exe, 47274字节
c://windows//explorer.com, 47274字节
c://windows//finder.com, 47274字节
c://windows//winlogon.exe, 47274字节
c://windows//System32//command.pif, 47274字节
c://windows//System32//dxdiag.com, 47274字节
c://windows//System32//finder.com, 47274字节
c://windows//System32//msconfig.com, 47274字节
c://windows//System32//regedit.com, 47274字节
c://windows//System32//rundll32.com, 47274字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//Run]
"Torjan Program" = %WinDir%//winlogon.exe
[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows NT//CurrentVersion//Winlogon]
"Shell" = explorer.exe 1
这样,在Windows启动时,病毒就可以自动执行。
病毒通过修改下列注册表键值,改变IE默认主页等信息:
[HKEY_CURRENT_USER//SOFTWARE//Microsoft//Internet Explorer//Main]
"Check_Associations" = no
病毒通过修改下列注册表键值,修改文件关联:
[HKEY_CLASSES_ROOT//dunfile//shell//open//command]
"" = %systemroot%//system32//rundll32.com netshell.dll,invokedunfile %1
[HKEY_CLASSES_ROOT//file//shell//open//command]
"" = rundll32.com url.dll,fileprotocolhandler %l
[HKEY_CLASSES_ROOT//htmlfile//shell//open//command]
"" = "c://program files//internet explorer//iexplore.com" -nohome
这样,用户打开任何dun html文件,都会再次运行病毒程序。
这个木马不仅仅感染C盘,还会在D 盘中也留下木马文件
[autorun]
OPEN=D://pagefile.pif
病毒运行后,将创建下列文件(以Windows XP 系统为例):
c://program files//common files//iexplore.pif, 47274字节
c://program files//internet explorer//iexplore.com, 47274字节
c://windows//1.com, 47274字节
c://windows//debug//debugprogram.exe, 47274字节
c://windows//exeroute.exe, 47274字节
c://windows//explorer.com, 47274字节
c://windows//finder.com, 47274字节
c://windows//winlogon.exe, 47274字节
c://windows//System32//command.pif, 47274字节
c://windows//System32//dxdiag.com, 47274字节
c://windows//System32//finder.com, 47274字节
c://windows//System32//msconfig.com, 47274字节
c://windows//System32//regedit.com, 47274字节
c://windows//System32//rundll32.com, 47274字节
在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//Run]
"Torjan Program" = %WinDir%//winlogon.exe
[HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows NT//CurrentVersion//Winlogon]
"Shell" = explorer.exe 1
这样,在Windows启动时,病毒就可以自动执行。
病毒通过修改下列注册表键值,改变IE默认主页等信息:
[HKEY_CURRENT_USER//SOFTWARE//Microsoft//Internet Explorer//Main]
"Check_Associations" = no
病毒通过修改下列注册表键值,修改文件关联:
[HKEY_CLASSES_ROOT//dunfile//shell//open//command]
"" = %systemroot%//system32//rundll32.com netshell.dll,invokedunfile %1
[HKEY_CLASSES_ROOT//file//shell//open//command]
"" = rundll32.com url.dll,fileprotocolhandler %l
[HKEY_CLASSES_ROOT//htmlfile//shell//open//command]
"" = "c://program files//internet explorer//iexplore.com" -nohome
这样,用户打开任何dun html文件,都会再次运行病毒程序。
这个木马不仅仅感染C盘,还会在D 盘中也留下木马文件
autorun.inf 文件是一个自动运行的脚本程序,里面内容如下,
[autorun]
OPEN=D://pagefile.pif