流氓软件7939分析报告

　　一个感染型病毒。被病毒感染后，首页被篡改并无法改回。可能会造成Winlogon.exe异常，导致系统蓝屏或重起。

　　病毒运行后有以下行为：

一、弹出包含以下内容的对话框：（病毒作者制作被感染文件）

　　标题：“捆绑软件”
　　内容为：“是否捆绑 [%CURFILE%] ？”
　　如果用户选择“是”病毒就会感染文件，并有感染完成后弹出包含以下内容的对话框。
　　标题：“恭喜”
　　内容为：“捆绑结束！点击确定程序安全退出！”

二、感染以下几个文件

　　"%WINDIR%\system32\rundll32.exe"
　　"%WINDIR%\rundll32.exe"
　　"%WINDIR%\system32\userinit.exe"
　　"%WINDIR%\regedit.exe"
　　"%WINDIR%\system\runonce.exe"
　　"%WINDIR%\system32\runonce.exe"
　　"IEXPLORE.EXE"

　　感染的方式为修改被感染文件入口，将病毒代码添加被感染文件的尾部。

　　三、在Winlogon.exe、explorer.exe进程空间中创建感染线程，感染文件，使其他应用程序无法修复被感染文件。

　　四、修改注册表以下键值

　　注册表键：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

　　数据项："HomePage"

　　数据值为："http://www.7939.com/"

　　五、关闭某杀毒软件的"文件保护"以及"主动防御"功能。

　　六、每周2 下载 1."http://Clicksad.com/****.jpg" （为PE文件）到临时目录并运行！

　　七、根据 "http://Clicksad.com/page.jpg" 文件的内容（网址）修改本地计算机的首页（病毒本身修改7939）。