Win32.Troj.Gaslide.f

编写工具:VB6.0

传染条件:

发作条件:用户误运行该病毒

系统修改:

1.复制自身到%System%Cdrunxp.exe,%Temp%Mscomctl.vxd,%System%RestoreRstrui.exe

2.释放一个用来修改注册表的程序%System%Notepad.exe,%Temp%NLoad.vxd,%Temp%Helpctl.exe

3.建立一个以为.gst扩展名的临时文件

4.通过修改注册表HKEY_CLASSES_ROOTexefileshellopencommand中.EXE文件的关联,使得每次运行.EXE文件时都要
先运行该病毒

5.在注册表HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
添加键值"helpctl.exe"="helpctl.exe"
在注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
添加键值"slide"="Iexplore.exe"
实现病毒的自启动

6.将IE浏览器的默认主页修改成一个色情网站http://www.findgaypix.com

发作现象:每次开启IE浏览器的时候都会连接到http://www.findgaypix.com这个色情网站上去

非凡说明:
这个一个修改IE浏览器默认主页的病毒,中了该病毒后,每次打开IE浏览器的时候都会自动连接到一个色情网站
由于该病毒修改了.EXE的文件关联,病毒的副本又有很多,很难全部删除,即使暂时可以将IE浏览器的默认主页改回来
但一运行.EXE程序,躲在别处的病毒又运行了,IE浏览器的相关选项又被修改了