本帖最后由 防线技术支持 于 2010-10-11 17:45 编辑
2010年10月11日,安天实验室接到用户上报一个篡改IE浏览器主页并锁定IE首页为http://i.163vv.com/?99的顽固样本,如图1所示:
图1
此样本运行后会创建explorer的进程名迷惑用户,如图2.:
桌面上创建若干个垃圾网站的快捷方式,如图3.
图3.
写入“缤纷网址导航进IE收藏夹”如图4.
图4.
篡改启动项,如图5
图5.
恶意篡改IE浏览器,如图6.
图6.
禁用注册表编辑器,如图7.
本地衍生文件:
c:\Documents and Settings\Administrator\Favorites\&缤纷网址导航&.url
c:\Documents and Settings\All Users\「开始」菜单\程序\启动\TSPS.lnk
c:\Documents and Settings\All Users\桌面\Intennet Exploner.lnk
c:\Documents and Settings\All Users\桌面\免费电影C.url
c:\Documents and Settings\All Users\桌面\改变你的一生.url
c:\Documents and Settings\All Users\桌面\淘宝购物A.url
c:\Program Files\Common Files\ips888.dll
c:\TSTP\winlogon.exe
本地注册表行为:
新建键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
键值描述:隐藏桌面上的IE浏览器。
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\NeverShowExt
值: 字符串: "1"
键值描述:隐藏.exe可执行文件的扩展名
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
值: DWORD: 1 (0x1)
键值描述:禁止注册表编辑器
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations\ModRiskFileTypes
值: 字符串: ".exe"
键值描述:禁止Windows打开文件安全警告提示
映像劫持:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
值: 字符串: "ntsd -d"
劫持进程如下:
360rp.exe、360rpt.exe、360safebox.exe、360sd.exe、360sdrun.exe、360tray.exe、799d.exe、adam.exe、AgentSvr.exe、AntiU.exe、AoYun.exe、AppSvc32.exe、appdllman.exe、ArSwp.exe、ArSwp3.exe、AST.exe、atpup.exe、auto.exe、AutoRun.exe、av.exe、AvastU3.exe、avconsol.exe、avgrssvc.exe、AvMonitor.exe、avp.com、AvU3Launcher.exe、CCenter.exe、ccSvcHst.exe、ccSvcHst.exe、RavMon.exe、RavStub.exe、RavTask.exe、RegClean.exe、rfwmain.exe、safeboxTray.exe
………
等数十个主流安全软件进程。
修改的键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
键值描述:禁止显示隐藏和系统文件
手工清除方案:
1.将本地衍生文件全部删掉
2.注册表清理与修复
(1).注册表解锁:由于注册表已被禁止,请用安天Atool找到相应的键值,即如下键值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools 将DWORD值改为0即可解锁注册表
(2).删掉所有新建的注册表键值
(3). 映像劫持修复即
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
将此键值下的内容清空即可
(4).将如下键值的0改为1即可
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
安天反病毒工程师建议
清除方案:
1、使用安天防线可彻底清除此病毒(推荐)的衍生文件。请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
手工查杀推荐使用安天自主研发的ATool管理工具,请点击下载(http://www.antiy.com/cn/download/index.htm)。
建议使用安天锐甲的首页保护功能,可以有效修复被篡改的浏览器首页,并且防范主页被再次恶意篡改。点击“云查杀”彻底清除流氓网站后,将首页锁定为你常用的主页即可。免费下载地址:http://www.ruijia.cn |
|