Win32.Hack.RPolyCrypt.a.36864分析

　　威胁级别: ★★☆☆☆ 病毒类型: 广告软件 病毒长度: 33932

　　影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003

　　病毒行为:

　　这是一个由AUTO病毒释放的病毒文件。它会使系统不断的弹广告和下载其他病毒文件。并出现会自动下载电影播放器的电子图书。没多久，在用户桌面上便会显示大量网页图标和与病毒文件相关的快捷方式及文件夹。总体来说，此病毒破坏性不强，但其行为却会令用户深感烦腻。

　　1.病毒运行后，生成以下病毒文件

　　%windows%\system32\SVSH0ST.EXE

　　2.在系统各盘中生成AUTO病毒，分别是niu.exe和autorun.inf辅助文件。当用户鼠标左键双击打开含有AUTO病毒的盘符时，盘符会迟缓一会才打开，此时已再次触发病毒。

　　3.该病毒运行后，会自动打开一本电子图书，名为"eREAD"。很显然这只是病毒的掩护体。

　　4.随着电子图书的打开，病毒会自动下载PPfilm.exe文件，该文件运行后，会是一个电影播放器。

　　5.经过以上3，4步以后，系统会时而弹出广告和网页，这是最明显的病毒症状，而弹出的网页是无法修改大小，而且看到的页面内容已经走位，无法调整，随后自动关闭。

　　6.当用户自己打开浏览器时，发现主页已被病毒修改为:"http://www.j**an.com/movies/1/pa**list/0/n**update/1.shtm",相关内容是免费电影点播。

　　7.当用户回到桌面查看时，发现在桌面多了许多网页图标、文件夹以及某些软件的快捷方式，这些是病毒自动生成的。

　　8.只要病毒存在系统越久，弹网页的频率就越高。

　　9.查看启动项，已经有两个病毒启动项被写入，分别是

　　启动项名:SVSH0ST 对应路径:%windows%\system32\SVSH0ST.EXE

　　启动项名:jfCacheMgr 对应路径:%Program Files%\ppfilm\jfCacheMgr.exe