病毒大百科

这是一个广告软件。该病毒运行后会在IE浏览器中擅自添加搜索插件，还会挟持IE的页面指向病毒作者指定的广告网站，强迫用户浏览。

1.生成文件：
C:\virus\sbmdl.dll
C:\virus\sbsm.exe
这个文件路径是可变的，它是病毒样本所在的当前目录

2.修改注册表，实现开机自动运行
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
start "C:\virus\XX_308.exe"这项的值可变，指向样本的位置
添加服务
HKEY_CLASSES_ROOT\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}\InprocServer32
@ "C:\virus\sbmdl.dll"
设置用户IE的搜索页面
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}
URL "http://www.searchagate.com/index.php?b=1&t=0&q={searchTerms}"
挟持用户的IE的页面自动转到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}
Exec "http://www.gateietool.com/redirect.php"

3.该病毒运行后系统启动后，explorer.exe关闭重启，部分打开的文件程序都将在下一次周期中

消失，IE的搜索页面被转向，添加了搜索插件，还会偷偷挟持IE的页面指向http://www.g**ei**ool.com。