超級巡警團隊監測到惡意程序Trojan.Win32.StartPage.sq正在傳播。該病毒以RAR打包,創建自解壓文件,并使用自解壓腳本命令解壓并運行其他病毒文件,通過修改注冊表惡意篡改主頁為:http://www.xiushe.com。超級巡警建議用戶使用超級巡警來防御查殺此類病毒。同時提醒廣大用戶及時更新病毒庫,對該程序進行有效查殺。
一、病毒相關分析:
病毒標簽:
病毒名稱:Trojan.Win32.StartPage.sq
病毒別名:首頁篡改蟲
病毒類型:木馬類
危害級別:2
感染平臺:Windows
病毒大小:273,259 字節
S H A 1 :2527a13b7bcc7b40953821ce40277b5ef1e6aa20
加殼類型:Rar
開發工具:Microsoft Visual C++ 6.0
病毒行為:
1、病毒運行后通過自解壓腳本命令,解壓病毒文件到:
Path=%windir%system32
自解壓為以下病毒文件:
“hao123.zip”,“go.bat”,“hao123.exe”,“lnternet Explorer.lnk”,文件夾“1”,文件夾“2”,文件夾“3”
2、自解壓的同時運行go.bat:
@echo off
start /min hao123.exe
3、病毒文件hao123.exe運行后,添加以下注冊表項及鍵值來達到篡改主頁等目的:
HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand
數值數據 "C:Program FilesInternet Exploreriexplore.exe" http://www.5414.cn
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
數值名稱:Start Page
數值數據: www.111333.com.cn/?in=StarPage
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
數值名稱:Search Page
數值數據:www.111333.com.cn/?in=IESearch
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
數值名稱:Search Bar
數值數據:www.111333.com.cn/?in=IERSearch
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerHideDesktopIconsClassicStartMenu
數值名稱:{871C5380-42A0-1069-A2EA-08002B30309D}
數值數據: 1
HKEY_CURRENT_USERSoftwareMicrosoftWi
共有條評論
