Win32.Troj.Havedo.a
病毒名称(中文):
FoxPro文件杀手
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
557056
影响系统:
Win9xWinNT
病毒行为:
这是一个破坏VisualFoxPro文件的木马病毒。该病毒会遍历所有驱动器,假如当前驱动器是可移动磁盘,病毒就会将自己拷贝为Project.pjx.exe到该驱动器的所有目录下(包括子目录)。该病毒运行的时候会检测当前系统时间是否为周六或周日并且是13:00以后,假如条件成立,该病毒就会破坏VisualFoxPro的相关文件(如:.SCT、.pjx、.prg、.dbf、.doc等),将这些文件填为空格。此外,该病毒还会修改IE浏览器的某些设置,使得用户在使用IE浏览器的时候会出现一些错误。
1)病毒复制一个文件名为“Project.pjx.exe”的文件到可移动磁盘的每一个目录下,该文件执行后会释放以下3个文件:
%SystemRoot%\cmd.lnd(病毒副本)
%SystemRoot%\iexplorex.dll(病毒Win32.Troj.HavedoDll.a)
%System%\cmd.exe(该文件是病毒释放的,系统的cmd.exe已经被它覆盖。该cmd.exe运行时只简单显示一个字符串“C:\>”来迷惑用户)
2)修改IE浏览器的某些设置:
HKEY_CLASSES_ROOT\CLSID\{37125E31-AD55-4F7B-BF6F-A17A20953945}\(Default)=""
HKEY_CLASSES_ROOT\CLSID\{37125E31-AD55-4F7B-BF6F-A17A20953945}\InprocServer32\(Default)="%SystemRoot%\iexplorex.dll"
HKEY_CLASSES_ROOT\CLSID\{37125E31-AD55-4F7B-BF6F-A17A20953945}\InprocServer32\ThreadingModel="Apartment"
HKEY_CLASSES_ROOT\iexplorex.IEHelper\(Default)=""
HKEY_CLASSES_ROOT\iexplorex.IEHelper\Clsid\(Default)="{37125E31-AD55-4F7B-BF6F-A17A20953945}"
HKEY_CLASSES_ROOT\CLSID\{37125E31-AD55-4F7B-BF6F-A17A20953945}\ProgID\(Default)="iexplorex.IEHelper"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue=0x0
