网络编程 | 站长之家 | 网页制作 | 图形图象 | 操作系统 | 冲浪宝典 | 软件教学 | 网络办公 | 邮件系统 | 网络安全 | 认证考试 | 系统进程
Firefox | IE | Maxthon | 迅雷 | 电驴 | BitComet | FlashGet | QQ | QQ空间 | Vista | 输入法 | Ghost | Word | Excel | wps | Powerpoint
asp | .net | php | jsp | Sql | c# | Ajax | xml | Dreamweaver | FrontPages | Javascript | css | photoshop | fireworks | Flash | Cad | Discuz!
当前位置 > 网站建设学院 > 网络安全 > 病毒数据库
Tag:卡巴斯基,NOD32,诺顿,金山毒霸,瑞星,江民
本月文章推荐
.Trojan.PSW.Lineage.cw.
.DOS.Bubonic.
.Win32.Troj.Way.20.
.DOS.Diamond.r.
.Worm.Wozer.e.
.DOS.Ash.c.
.Win32.Troj.StartPage.tc.
.Win32.Troj.Agent.co.16384.
.Worm.Antinny.am.
.Win32.Hack.Coldfuson11.b.
.Win32.Troj.LdPinch.hn.
.Win32.Hack.Assniffer.
.DOS.Worf.
.Win32.Troj.Small.wl.
.Worm.Poffer.b.enc.
.Worm.Msn-Bot.ae.435200.
.Win32.Hack.Dccunf.
.Backdoor.SdBot.gen.f.
.Worm.Sober.g.
.Win32.Troj.Lmir.ff.

Win32.Troj.StartPage.251392

发表日期:2008-8-11

病毒名称(中文): 李鬼卫士
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马程序
病毒长度: 124928
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003



病毒行为:

这是一个用VB编写的木马程序变种。病毒伪装成安全辅助软件“360安全卫士”的相关文件,骗取用户点击。它成功运行后,会修改IE浏览器的默认首页、增加IE浏览器扩展按钮,还会将用户的网卡物理地址、计算机名称等信息发送至远程服务器。

(1)运行后释放文件
%sys32dir%\360Safe.exe
%sys32dir%\360Server.exe
%sys32dir%\AllRight.exe
%sys32dir%\MSINET.OCX(VB控件)
%sys32dir%\NTVBSvcW.tlb(类型库文件)
%sys32dir%\SoftIcon.ico(图标文件)

(2)运行后添加注册表项
HKEY_CLASSES_ROOT\InetCtls.Inet
HKEY_CLASSES_ROOT\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\Interface\{48E59291-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\Interface\{48E59292-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Extensions\CmdMapping {b9fea863-f81c-1194-9dbd-212599424149}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InetCtls.Inet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{48E59291-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Extensions\{b9fea863-f81c-1194-9dbd-212599424149}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_360SAFE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360Safe

(3)运行后修改注册表项
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main StartPage www.007788.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main StartPage www.007788.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main Default_Page_URL www.007788.com

(4)病毒运行后尝试修改IE浏览器首页,并尝试弹出新IE窗口打开这个网址

(5)病毒尝试为IE浏览器增加一个扩展功能按钮:访问007788

(6)病毒尝试增加一个系统服务,描述如下:
服务名:360safe
显示名称:360SafeServer
描述:360SafeServer
映像路径:%sys32dir%\360Server.exe
启动类型:自动

(7)病毒运行后以下两个进程会被创建并运行:
360Safe.exe
360Server.exe
其中360Safe.exe进程在后台监控并还原首页地址

(8)病毒文件伪装成360安全卫士,诱惑用户点击,文件属性信息如下:
文件版本:1.0.0.0
产品版本:1.00
产品名称:360Safe
公司名称:奇虎网
内部名称:4
语言:中文(中国)
源文件名:4.exe

(9)病毒尝试统计中毒者机器信息,如网卡物理地址、计算机名等,然后发送至远程服务器
hxxp://www.0**7*8.com/tongji.php?mac=000000000000COMPUTERNAME&p=AE8795FFF80D&id=3
上一篇:Win32.PSWTroj.QQPass.kb.155648 人气:108
下一篇:Win32.o0Bind.b.23040 人气:108
浏览全部Win32.Troj.StartPage.251392的内容 Dreamweaver插件下载 网页广告代码 祝你圣诞节快乐 2009年新年快乐