首頁篡改蟲

首頁篡改蟲

惡意程式Trojan.Win32.StartPage.sq以RAR打包,創建自解壓檔案,並使用自解壓腳本命令解壓並運行其他病毒檔案,通過修改註冊表惡意篡改主頁。超級巡警團隊監測到惡意程式Trojan.Win32.StartPage.sq正在傳播。超級巡警建議用戶使用超級巡警來防禦查殺此類病毒。同時提醒廣大用戶及時更新病毒庫,對該程式進行有效查殺。

基本介紹

  • 中文名:首頁篡改蟲
  • 外文名:Trojan.Win32.StartPage.sq
  • 類別:木馬類病毒
  • 危害級別:2
  • 感染平台:Windows
  • 病毒大小:273,259 位元組
  • 開發工具:Microsoft Visual C++ 6.0
病毒行為,安全建議,附註,

病毒行為

1、病毒運行後通過自解壓腳本命令,解壓病毒檔案到:
Path=%windir%\system32
自解壓為以下病毒檔案:
“hao123.zip”,“go.bat”,“hao123.exe”,“lnternet Explorer.lnk”,資料夾“1”,資料夾“2”,資料夾“3”
2、自解壓的同時運行go.bat:
@echo off
start /min hao123.exe
3、病毒檔案hao123.exe運行後,添加以下註冊表項及鍵值來達到篡改主頁等目的:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
數值數據 "C:\Program Files\Internet Explorer\iexplore.exe" http://www.5414.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
數值名稱:Start Page
數值數據: www.111333/?in=StarPage
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
數值名稱:Search Page
數值數據:www.111333/?in=IESearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
數值名稱:Search Bar
數值數據:www.111333/?in=IERSearch
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
數值名稱:{871C5380-42A0-1069-A2EA-08002B30309D}
數值數據: 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
數值名稱:{871C5380-42A0-1069-A2EA-08002B30309D}
數值數據: 1
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\
IEXPLORE.EXE\shell\open\command
數值數據:
C:\\Program Files\Internet Explorer\
iexplore.exe http://www.111333/?in=startmenu
4、刪除以下註冊表項
"reg delete HKEY_CLASSES_ROOT\piffile /v IsShortcut /f "
"reg delete HKEY_CLASSES_ROOT\lnkfile /v IsShortcut /f "
5、刪除以下檔案:
del "%ALLUSERSPROFILE%\..\*Internet*.lnk" /s "
del "%ALLUSERSPROFILE%\..\*Internet*.url" /s "
6、分別複製解壓出來的3個病毒資料夾內的檔案到以下路徑:
xcopy "1\lnternet Explorer.lnk" "%ALLUSERSPROFILE%\桌面\" /k /c /q /r /y
xcopy "2\lnternet Explorer.lnk" "%ALLUSERSPROFILE%\「開始」選單\程式\" /k /c /q /r /y
xcopy "3\lnternet Explorer.lnk" "%AppData%\Microsoft\Internet Explorer\Quick Launch" /k /c /q /r /y
7、強行結束以下進程:
taskkill /f /im explorer.exe
taskkill /f /im IEXPLORE.EXE
8、重命名以下檔案,達到URL轉向病毒指定網址的目的:
rename %windir%\system32\shdoclc.dll shlos.rar
rename %windir%\system32\hao123.zip shdoclc.dll
替換的shdoclc.dll檔案的stringtable的76目錄項下的1211號資源字元串,實現“當用戶在IE地址欄輸入錯誤的時候,轉向病毒設定URL
9、cls清屏後,再打開explorer.exe:
"cls"
"%systemroot%\explorer.exe"

安全建議

1、立即安裝或更新防病毒軟體並對記憶體和硬碟全面掃描(推薦安裝超級巡警)。
2、根據實際安全級別需要適當考慮選用防火牆,並進行正確的設定。
3、使用超級巡警補丁檢查功能,及時安裝系統補丁
4、禁用或刪除不必要的的帳號,對管理員帳號設定一個強壯的密碼。
5、禁用不必要的服務。
6、不要使用IE核心的瀏覽器。
7、不要隨便打開不明來歷的電子郵件,尤其是郵件附屬檔案。
8、不要隨意下載不安全網站的檔案並運行。
9、不要隨便登入不明網站,特別不要隨意登入需要自己銀行帳號或手機及計算機系統帳號的不
明網站。
10、不要輕易打開即時通訊工具中發來的連結或執行檔。

附註

%System% 是一個可變路徑,在windows95/98/me中該變數是指%Windir%\System,在
WindowsNT/2000/XP/2003/VISTA中該變數指%Windir%\System32。其它:
%SystemDrive%     系統安裝的磁碟分區
%SystemRoot% = %Windir%   WINDODWS系統目錄
%ProgramFiles%      應用程式默認安裝目錄
%AppData%     應用程式數據目錄
%CommonProgramFiles%  公用檔案目錄
%HomePath%     當前活動用戶目錄
%Temp% =%Tmp%     當前活動用戶臨時目錄
%DriveLetter%     邏輯驅動器分區
%HomeDrive%     當前用戶系統所在分區

相關詞條

熱門詞條

聯絡我們