Win32.Hack.StartPage.ho是一個會偽裝成流行軟體的升級版本來誘使用戶下載運行的木馬病毒。
基本介紹
- 外文名:Win32.Hack.StartPage.ho
- 威脅級別:★★
- 中文名稱:時間機器
- 病毒類型:黑客程式
影響系統,病毒行為,
影響系統
Windows 2000, Windows 95, Windows 98, Windows Me,
病毒行為
編寫工具:
asm編寫,upx壓縮
傳染條件:
偽裝成流行軟體的升級版本來誘使用戶下載運行.
發作條件:
運行後該木馬會阻止用戶windows和一些反病毒軟體的病毒庫的更新,以此來逃避檢測.
系統修改:
1,將自己註冊成系統服務,這樣在用戶註銷後也可次再次運行.
2,向註冊表添加
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"reg32" = "%windir%
eg32.exe"
3,通過修改註冊表:
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
"Start Page" = "http:/ /allsearcher.info/"
"Local Page" = "http:/ /allsearcher.info/"
"Default_Page_URL" = "http:/ /allsearcher.info/"
來達到修改瀏覽器主頁的目的
4,刪除下列註冊表鍵值:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
Key2
ControlPanel
5,覆蓋下列檔案:
%Windows%hosts
c:system32driversetchosts
6,關閉標題為System - Microsoft Internet Explorer的視窗
7,關閉以下正在運行的進程:
ATUPDATER.EXE
AUPDATE.EXE
AUTODOWN.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVPUPD.EXE
AVWUPD32.EXE
AVXQUAR.EXE
CFIAUDIT.EXE
DRWEBUPW.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
loadclean.exe
loader.exe
LUALL.EXE
MCUPDATE.EXE
NUPGRADE.EXE
runddl.exe
serve.exe
UPDATE.EXE
發作現象:
運行該木馬後,瀏覽器主頁將被修改為"http:/ /allsearcher.info/",同時用戶不能登入一些安全類的網站.
特別說明:
