Win32.Troj.Havedo.a

病毒名称(中文):

FoxPro文件杀手

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

557056

影响系统:

Win9xWinNT

病毒行为:

这是一个破坏VisualFoxPro文件的木马病毒。该病毒会遍历所有驱动器，假如当前驱动器是可移动磁盘，病毒就会将自己拷贝为Project.pjx.exe到该驱动器的所有目录下（包括子目录）。该病毒运行的时候会检测当前系统时间是否为周六或周日并且是13:00以后，假如条件成立，该病毒就会破坏VisualFoxPro的相关文件（如：.SCT、.pjx、.prg、.dbf、.doc等），将这些文件填为空格。此外，该病毒还会修改IE浏览器的某些设置，使得用户在使用IE浏览器的时候会出现一些错误。

1)病毒复制一个文件名为“Project.pjx.exe”的文件到可移动磁盘的每一个目录下,该文件执行后会释放以下3个文件：

%SystemRoot%\cmd.lnd（病毒副本）

%SystemRoot%\iexplorex.dll（病毒Win32.Troj.HavedoDll.a）

%System%\cmd.exe（该文件是病毒释放的，系统的cmd.exe已经被它覆盖。该cmd.exe运行时只简单显示一个字符串“C:\>”来迷惑用户）

2)修改IE浏览器的某些设置：

HKEY_CLASSES_ROOT\CLSID\{37125E31-AD55-4F7B-BF6F-A17A20953945}\(Default)=""

HKEY_CLASSES_ROOT\CLSID\{37125E31-AD55-4F7B-BF6F-A17A20953945}\InprocServer32\(Default)="%SystemRoot%\iexplorex.dll"

HKEY_CLASSES_ROOT\CLSID\{37125E31-AD55-4F7B-BF6F-A17A20953945}\InprocServer32\ThreadingModel="Apartment"

HKEY_CLASSES_ROOT\iexplorex.IEHelper\(Default)=""

HKEY_CLASSES_ROOT\iexplorex.IEHelper\Clsid\(Default)="{37125E31-AD55-4F7B-BF6F-A17A20953945}"

HKEY_CLASSES_ROOT\CLSID\{37125E31-AD55-4F7B-BF6F-A17A20953945}\ProgID\(Default)="iexplorex.IEHelper"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue=0x0