关注恶意软件:
恶意软件名称:“IE篡改器”木马(Trojan.Win32.VB.Xen)
恶意软件类型:木马
长度:20680字节
加壳方式:NSPack
影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista/WIN7
具体表现:
“IE篡改器”木马由一个WinRAR自解压文件释放。自解压压缩包中包含此木马和另一网页快捷方式文件。运行后,它会创建以下文件到计算机:
%User%\Application Data\Microsoft\Internet Explorer\Quick Launch\Internat Exp1orer.lnk %User%\Administrator\Favorites\网络赚钱宝典免费赠送.url %User%\Administrator\桌面\Internet Exp1orer.lnk
并且删除下列文件:
%User%\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.lnk
修改下列注册表项:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Window_Placement
hex:2c,00,00,00,02,00,00,00,03,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff
,ff,ff,ff,ff,b0,00,00,00,00,00,00,00,d0,03,00,00,58,02,00,00,
hex:2c,00,00,00,02,00,00,00,03,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff,ff
,ff,ff,ff,ff,c6,00,00,00,16,00,00,00,e6,03,00,00,6e,02,00,00,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDe sktopIcons\ClassicStartMenu
{871C5380-42A0-1069-A2EA-08002B30309D} dword:00000000 dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDe sktopIcons\NewStartPanel
{871C5380-42A0-1069-A2EA-08002B30309D} dword:00000000 dword:00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections SavedLegacySettings
hex:3c,00,00,00,04,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 ,04,00,00,00,00,00,00,
00,d0,dd,0f,cf,f9,12,c9,01,01,00,00,00,c0,a8,03,66,00 ,00,00,00,00,00,00,00,
hex:3c,00,00,00,06,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
,04,00,00,00,00,00,00,00,d0,dd,0f,cf,f9,12,c9,01,01,00,00,00,c0,a8,03,66,00 ,00,00,00,00,00,00,00,
自解压文件后会自动运行木马并打开网页快捷方式文件。网页快捷方式文件中的URL指向http://www.9xx.cn/search.php?channel=1000000090&type=title&ordertype=date&action=result&ordertype=date&k eyword=%D7%AC%C7%AEModified=20B79BAF6D4ECA01A7。木马本身运行后会提示“系统错误,不是有效的 Win32应用程序,请删除”,借以迷惑用户。之后会隐藏桌面上原IE快捷方式图标,并建立新的IE快捷方式图标,指向http://www.it9xx.cn/,并且将用户IE 主页也锁定为http://www.it9xx.cn/。根据用户使用的浏览器类型,如IE、Maxthon、GreenBrowser、360安全浏览器、Frefox等,向相应浏览器的收藏夹中释放链接文件。此外,木马还会获取用户网卡mac地址发送至远程计算机进行感染数量统计。
卡巴斯基已经可以查杀此木马,建议您尽快安装卡巴斯基反病毒软件并将病毒库升级到最新,以免感染给您造成不必要的损失。
专家预防建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
网友评论