病毒大百科

该病毒是一个广告木马。该病毒运行后，会在windows目录等目录生成文件，并添加启动项。其中一个文件欺骗用户说用户中间谍软件了，并要求用户下载它的反间谍软件，另一个文件修改用户的上网主页。发作现象为，系统右下角多出一个“红气球”图标，鼠标放在上面会显示“Your computer is infected!”。

1，生成文件
%windows%\soft.exe
%windows%\secure32.html
%system%\paytime.exe
%systemRoot%\secure32.html
%systemRoot%\winstall.exe

2，添加注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
"Windows installer" = "%systemRoot%\winstall.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"PayTime" = "%system%\paytime.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
"Default_Page_URL" = "%systemRoot%\secure32.html"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
"Local Page" = "%systemRoot%\secure32.html"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
"Local Page" = "%systemRoot%\secure32.html"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Default_Page_URL" = "%systemRoot%\secure32.html"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Local Page" = "%systemRoot%\secure32.html"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Local Page" = "%systemRoot%\secure32.html"