超级巡警团队监测到恶意程序Trojan.Win32.StartPage.sq正在传播。该病毒以RAR打包,创建自解压文件,并使用自解压脚本命令解压并运行其他病毒文件,通过修改注册表恶意篡改主页为:http://www.xiushe.com。超级巡警建议用户使用超级巡警来防御查杀此类病毒。同时提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Win32.StartPage.sq
病毒别名:首页篡改虫
病毒类型:木马类
危害级别:2
感染平台:Windows
病毒大小:273,259 字节
S H A 1 :2527a13b7bcc7b40953821ce40277b5ef1e6aa20
加壳类型:Rar
开发工具:Microsoft Visual C++ 6.0
病毒行为:
1、病毒运行后通过自解压脚本命令,解压病毒文件到:
Path=%windir%system32
自解压为以下病毒文件:
“hao123.zip”,“go.bat”,“hao123.exe”,“lnternet Explorer.lnk”,文件夹“1”,文件夹“2”,文件夹“3”
2、自解压的同时运行go.bat:
@echo off
start /min hao123.exe
3、病毒文件hao123.exe运行后,添加以下注册表项及键值来达到篡改主页等目的:
HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand
数值数据 "C:Program FilesInternet Exploreriexplore.exe" http://www.5414.cn
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
数值名称:Start Page
数值数据: www.111333.com.cn/?in=StarPage
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
数值名称:Search Page
数值数据:www.111333.com.cn/?in=IESearch
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
数值名称:Search Bar
数值数据:www.111333.com.cn/?in=IERSearch
HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionExplorerHideDesktopIconsClassicStartMenu
数值名称:{871C5380-42A0-1069-A2EA-08002B30309D}
数值数据: 1
HKEY_CURRENT_USERSoftwareMicrosoftWi
共有条评论
