Trojan.Win32.StartPage.sq分析与解决方案
出处:超级巡警 时间:2008年3月3日
超级巡警团队监测到恶意程序Trojan.Win32.StartPage.sq正在传播。该病毒以RAR打包,创建自解压文件,并使用自解压脚本命令解压并运行其他病毒文件,通过修改注册表恶意篡改主页为:http://www.xiushe.com。超级巡警建议用户使用超级巡警来防御查杀此类病毒。同时提醒广大用户及时更新病毒库,对该程序进行有效查杀。
一、病毒相关分析:
病毒标签:
病毒名称:Trojan.Win32.StartPage.sq
病毒别名:首页篡改虫
病毒类型:木马类
危害级别:2
感染平台:Windows
病毒大小:273,259 字节
S H A 1 :2527a13b7bcc7b40953821ce40277b5ef1e6aa20
加壳类型:Rar
开发工具:Microsoft Visual C++ 6.0
病毒行为:
1、病毒运行后通过自解压脚本命令,解压病毒文件到:
Path=%windir%\system32
自解压为以下病毒文件:
“hao123.zip”,“go.bat”,“hao123.exe”,“lnternet Explorer.lnk”,文件夹“1”,文件夹“2”,文件夹“3”
2、自解压的同时运行go.bat:
@echo off
start /min hao123.exe
3、病毒文件hao123.exe运行后,添加以下注册表项及键值来达到篡改主页等目的:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
数值数据 "C:\Program Files\Internet Explorer\iexplore.exe" http://www.5414.cn
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
数值名称:Start Page
数值数据: www.111333.com.cn/?in=StarPage
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
数值名称:Search Page
数值数据:www.111333.com.cn/?in=IESearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
数值名称:Search Bar
数值数据:www.111333.com.cn/?in=IERSearch
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
数值名称:{871C5380-42A0-1069-A2EA-08002B30309D}
数值数据: 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
数值名称:{871C5380-42A0-1069-A2EA-08002B30309D}
数值数据: 1
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\
IEXPLORE.EXE\shell\open\command
数值数据:
C:\\Program Files\Internet Explorer\
iexplore.exe http://www.111333.com.cn/?in=startmenu
4、删除以下注册表项:
"reg delete HKEY_CLASSES_ROOT\piffile /v IsShortcut /f "
"reg delete HKEY_CLASSES_ROOT\lnkfile /v IsShortcut /f "
5、删除以下文件:
del "%ALLUSERSPROFILE%\..\*Internet*.lnk" /s "
del "%ALLUSERSPROFILE%\..\*Internet*.url" /s "
6、分别复制解压出来的3个病毒文件夹内的文件到以下路径:
xcopy "1\lnternet Explorer.lnk" "%ALLUSERSPROFILE%\桌面\" /k /c /q /r /y
xcopy "2\lnternet Explorer.lnk" "%ALLUSERSPROFILE%\「开始」菜单\程序\" /k /c /q /r /y
xcopy "3\lnternet Explorer.lnk" "%AppData%\Microsoft\Internet Explorer\Quick Launch" /k /c /q /r /y
7、强行结束以下进程:
taskkill /f /im explorer.exe
taskkill /f /im IEXPLORE.EXE
8、重命名以下文件,达到URL转向病毒指定网址的目的:
rename %windir%\system32\shdoclc.dll shlos.rar
rename %windir%\system32\hao123.zip shdoclc.dll
替换的shdoclc.dll文件的stringtable的76目录项下的1211号资源字符串,实现“当用户在IE地址栏输入错误的时候,转向病毒设置URL="http://www.2d2.cn/?wd=%s&ie=utf-8&id=5"”
9、cls清屏后,再打开explorer.exe:
"cls"
"%systemroot%\explorer.exe"
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://download.pchome.net/utility/antivirus/trojan/detail-33842.html
专杀下载地址:http://a1.sucop.com/killer/StartPage_killer.zip
手工清除方法:
1、结束病毒进程。打开超级巡警,选择进程管理功能,终止以下进程:
hao123.exe
2、删除病毒生成以下文件:
Path=%windir%\system32
“go.bat”,“hao123.exe”,“lnternet Explorer.lnk”“hao123.zip”,文件夹“1”,文件夹“2”,文件夹“3”
3、把被病毒修改过的注册表项按照如下修改:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
数值数据 "C:\Program Files\Internet Explorer\iexplore.exe"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
数值名称:Start Page
数值数据: about:blank
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
数值名称:Search Page
数值数据:
http://www.microsoft.com/isapi/redir.dllprd=ie&;ar=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
数值名称:{871C5380-42A0-1069-A2EA-08002B30309D}
数值数据: 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
数值名称:{871C5380-42A0-1069-A2EA-08002B30309D}
数值数据: 0
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\
IEXPLORE.EXE\shell\open\command
数值数据:
"C:\Program Files\Internet Explorer\iexplore.exe"
4、删除以下注册表键值:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
数值名称:Search Bar
数值数据:www.111333.com.cn/?in=IERSearch
5、添加以下注册表项键值:
HKEY_CLASSES_ROOT\piffile /v IsShortcut /f
HKEY_CLASSES_ROOT\lnkfile /v IsShortcut /f
6、新建文本文档写入如下内容,并保存为sucop.bat,运行
rename %windir%\system32\shlos.rar shdoclc.dll
rename %windir%\system32\shdoclc.dll sq.rar
7、删除以下文件:
xcopy "1\lnternet Explorer.lnk" "%ALLUSERSPROFILE%\桌面\" /k /c /q /r /y
xcopy "2\lnternet Explorer.lnk" "%ALLUSERSPROFILE%\「开始」菜单\程序\" /k /c /q /r /y
xcopy "3\lnternet Explorer.lnk" "%AppData%\Microsoft\Internet Explorer\Quick Launch" /k /c /q /r /y
用正常文件来恢复以下文件:
%ALLUSERSPROFILE%\..\*Internet*.lnk
%ALLUSERSPROFILE%\..\*Internet*.url
8、建议用户使用超级巡警的恶意网站屏蔽功能屏蔽以下网址:
hxxp://www.xiushe.com
hxxp://www.2d2.cn
hxxp://www.111333.com.cn
hxxp://www.5414.cn
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
5、禁用不必要的服务。
6、不要使用IE内核的浏览器。
7、不要随便打开不明来历的电子邮件,尤其是邮件附件。
8、不要随意下载不安全网站的文件并运行。
9、不要随便登陆不明网站,特别不要随意登陆需要自己银行帐号或手机及计算机系统帐号的不
明网站。
10、不要轻易打开即时通讯工具中发来的链接或可执行文件。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在
WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
%HomeDrive% 当前用户系统所在分区
网友评论