病毒别名：处理时间：2006-09-06威胁级别：★
中文名称：病毒类型：木马影响系统：win9x/me,win2000/nt,winxp,win2003
病毒行为:
这是个修改用户ie主页的病毒。

1、将自身复制到%windows%\system32\realplayer.exe和%windows%\v20060830.rar。

2、不停的添加如下注册表项来使病毒自启动和修改ie首页为http://www.7939.com/,且用户无法将其修改过来。
hklm\software\microsoft\windows\currentversion\run\realplayer.exe"%windows%\system32\realplayer.exe"
hkcu\software\microsoft\windows\currentversion\run\realplayer.exe"%windows%\system32\realplayer.exe"
hklm\software\microsoftnt\windows\currentversion\winlogon\shell"explorer.exe%windows%\system32\realplayer.exe"
hkcu\software\microsoft\internetexplorer\main\startpage"http://www.7939.com/"

3、释放文件%system%\ravmon.dll或%system%\rsvtub.dll，并插入到explorer.exe进程中。

4、将病毒复制体插入到explorer.exe进程中使用户无法删除病毒体。

5、尝试关闭以下与计算机安全相关的软件的进程：
fint2005.exe
unlocker.exe
unlockerassistant.exe
hijackthis.exe
dllshow.exe
roguecleaner.exe
dostools.exe
killbox.exe
uihost.exe
360safe.exe
360shell.exe

5、尝试检测瑞星注册表监控窗口并将其关闭；检测avp的主动防御警报窗口，并向其发送"允许"按钮消息，使病毒躲过avp的主动防御警报。

7、将以下网页中内容下载到一个bat文件中并执行。
http://update.***sky.com//command0830l
http://***58com.com/830l
8、从http://***58com.com/上下载文件到本机并执行。

9、该病毒可以自动更新。

10、自删除。