Trojan/Startpage.lw
76 KB(HTML), 41 KB(EXE)
Trojan/Startpage.lw是一種木馬程式,它可以修改TCP/IP設定指向不同的DNS伺服器。它本身並不能自我複製進行傳播,為了能讓自己感染其它計算機,它只能利用含有惡意代碼的HTML檔案進行傳播。
基本介紹
- 外文名:Trojan/Startpage.lw
- 病毒長度::4,096 位元組(BAT)
- 病毒類型::木馬
- 危害等級::*
- 影響平台:Win9X/2000/XP/NT/Me/2003
當含有該木馬程式的HTML檔案被打開時:
1.在系統目錄下生成Aolfix.exe檔案並執行。
Aolfix.exe檔案的作用是:
刪除自生成的檔案,使得批處理檔案執行後即被刪除。
2.當生成的批處理檔案被自動執行後,生成檔案:
%Windir%\o.reg
%Windir%\o2.reg
%Windir%\o.vbs
3.當病毒生成的.reg檔案被執行後,修改註冊表:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\MSTCP]
"EnableDNS"="1"
"NameServer"="<指向批處理檔案的IP位址>"
"HostName"="host"
"Domain"="mydomain-com"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"="0"
"MigrateProxy"="0"鍵值
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Use Search Asst"="no"
"Search Page"="http://www.google-.com"
"Search Bar"="http://www.google-.com/ie"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL]
"="http://www.google-.com/keyword/%%s"
"provider"="gogl"
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Search]
"SearchAssistant"="http://www.google-.com/ie"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters]
"DataBasePath"="%SystemRoot%\help"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\Windows]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\Windows]
"r0x"="your s0x"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces]
"NameServer"="<指向批處理檔案的IP位址>"
完成上述操作後,木馬會自動刪除Aolfix.exe檔案。
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。
