找回密码
 注册创意安天

i.163vv.com、888.qq2233.com网址导航恶意插件清除方案

[复制链接]
发表于 2010-10-11 17:40 | 显示全部楼层 |阅读模式
本帖最后由 防线技术支持 于 2010-10-11 17:45 编辑

2010年10月11日,安天实验室接到用户上报一个篡改IE浏览器主页并锁定IE首页为http://i.163vv.com/?99的顽固样本,如图1所示:
1.jpg

图1

此样本运行后会创建explorer的进程名迷惑用户,如图2.:
2.jpg

桌面上创建若干个垃圾网站的快捷方式,如图3.
3.jpg

图3.


写入“缤纷网址导航进IE收藏夹”如图4.
4.jpg
图4.

篡改启动项,如图5
5.jpg
图5.

恶意篡改IE浏览器,如图6.
6.jpg
图6.

禁用注册表编辑器,如图7.
7.jpg


本地衍生文件:
c:\Documents and Settings\Administrator\Favorites\&缤纷网址导航&.url
c:\Documents and Settings\All Users\「开始」菜单\程序\启动\TSPS.lnk
c:\Documents and Settings\All Users\桌面\Intennet Exploner.lnk
c:\Documents and Settings\All Users\桌面\免费电影C.url
c:\Documents and Settings\All Users\桌面\改变你的一生.url
c:\Documents and Settings\All Users\桌面\淘宝购物A.url
c:\Program Files\Common Files\ips888.dll
c:\TSTP\winlogon.exe

本地注册表行为:
新建键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
键值描述:隐藏桌面上的IE浏览器。

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\NeverShowExt
值: 字符串: "1"
键值描述:隐藏.exe可执行文件的扩展名

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
值: DWORD: 1 (0x1)
键值描述:禁止注册表编辑器

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\ModRiskFileTypes
值: 字符串: ".exe"
键值描述:禁止Windows打开文件安全警告提示

映像劫持:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
值: 字符串: "ntsd -d"
劫持进程如下:
360rp.exe、360rpt.exe、360safebox.exe、360sd.exe、360sdrun.exe、360tray.exe、799d.exe、adam.exe、AgentSvr.exe、AntiU.exe、AoYun.exe、AppSvc32.exe、appdllman.exe、ArSwp.exe、ArSwp3.exe、AST.exe、atpup.exe、auto.exe、AutoRun.exe、av.exe、AvastU3.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、AvU3Launcher.exe、CCenter.exe、ccSvcHst.exe、ccSvcHst.exe、RavMon.exe、RavStub.exe、RavTask.exe、RegClean.exe、rfwmain.exe、safeboxTray.exe
………
等数十个主流安全软件进程。

修改的键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
键值描述:禁止显示隐藏和系统文件

手工清除方案:
1.将本地衍生文件全部删掉
2.注册表清理与修复
(1).注册表解锁:由于注册表已被禁止,请用安天Atool找到相应的键值,即如下键值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools  将DWORD值改为0即可解锁注册表
(2).删掉所有新建的注册表键值
(3). 映像劫持修复即
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
将此键值下的内容清空即可
(4).将如下键值的0改为1即可
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden

安天反病毒工程师建议
      清除方案:
      1、使用安天防线可彻底清除此病毒(推荐)的衍生文件。请到安天网站下载:http://www.antiy.com
      2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
      手工查杀推荐使用安天自主研发的ATool管理工具,请点击下载(http://www.antiy.com/cn/download/index.htm)
建议使用安天锐甲的首页保护功能,可以有效修复被篡改的浏览器首页,并且防范主页被再次恶意篡改。点击“云查杀”彻底清除流氓网站后,将首页锁定为你常用的主页即可。免费下载地址:http://www.ruijia.cn
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-12-22 01:00

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表