“网页感染器”病毒技术细节

这是一个具有下载、感染网页文件、点击网页等多种功能的下载型病毒。病毒由Delphi语言编写，upx加壳保护。

病毒运行后进行如下操作：

检查运行方式：

病毒运行后通过判断自己的文件名来确定运行方式，进行不同的操作，名称为“Sos.exe”，表示是写在逻辑盘或移动磁盘的、用于自动运行进行感染的病毒体。在这种情况下，病毒将当前路径作为命令行，启动explorer.exe，同时复制自己为“systemRxpMon.exe”并运行。名称为“RxpMon.exe”，表示病毒在本机系统目录下运行，病毒将进行下载、感染等主要工作。名称不为以上两个名称，表示病毒以其它名称进行感染，病毒将自己复制为“systemRxpMon.exe”运行。同时病毒在当前目录生“文件名.bat”的文件（内容如下）并运行，删除自己。

病毒主操作行为：

病毒名检查自己文件名为“RxpMon.exe”时，执行如下操作：

1．写注册表键禁止系统功能：

病毒多次调用"REG.exe"（应该是病毒的一部分，猜测是由病毒的安装程序同时释放的），传递如下参数生成注册表键，以此达到自动运行、禁止任务管理器、显示隐藏文件等系统功能：

"ADDHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/Vcrsss/TREG_SZ/DC:\WINNT\System32\RxpMoN.Exe/F"

'addHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate/vDisableWindowsUpdateAccess/tREG_dword/d00000001/f'

'addHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System/vDisableTaskMgr/tREG_dword/d00000001/f'

'add"HKCU\Software\Microsoft\Windows\CurrentVersion\EXPlorer\Advanced"/vHidden/treg_dWord/d00000000/f'

'add"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"/vHideFileExt/treg_dword/d00000001/f'

'add"HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"/vShowSuperHidden/treg_dword/d00000000/f'

'add"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL"/vCheckedValue/tREG_SZ/d0/f'

'add"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN"/vCheckedValue/tREG_dword/d00000002/f'