TrojanDownloader.Hotsurprise.c

病毒名称: TrojanDownloader.Hotsurprise.c 类别：后门病毒病毒资料：      破坏方法：

    连接指定网址的病毒到本地运行的病毒。

    一、试图连接下列网址，下载相应文件，换名保存，然后运行。

    http://install.xxxtoolbar.com/ist/softwares
    /addins/rb32.exe

    http://install.xxxtoolbar.com/ist/softwares
    /addins/istsvc.exe

    http://install.xxxtoolbar.com/ist/softwares
    /istupdates/istsvc_updater.exe

    http://install.xxxtoolbar.com/ist/softwares
    /addins/bb.exe

    http://install.xxxtoolbar.com/ist/softwares
    /addins/igetnet.exe

    二、破坏IE设置，把IE主页指向恶意网址。用户可以手工清除。

    1
    HKEY_CURRENT_USER\Software\Microsoft\internet eXPlorer\search
    "searchassistant"
    : HTTP://WWW.COULDNOTFIND.COM/SEARCH_PAGE.Html?&ACCOUNT_ID=0

    2
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    "start page"
    : HTTP://WWW.SLOTCH.COM/?&ACCOUNT_ID=0

    3
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    "search page"
    : HTTP://WWW.COULDNOTFIND.COM/SEARCH_PAGE.HTML?&ACCOUNT_ID=0

    4
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    "search bar" : HTTP://WWW.COULDNOTFIND.COM/SEARCH_PAGE.HTML?&ACCOUNT_ID=0
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：      Windows下的PE病毒。
发现日期： 2003-12-5