一、 病毒标签:
病毒名称: Trojan/Win32.StartPage.cjh[Clicker]
病毒类型: 木马下载器
文件 MD5: 99F07A9F65C02CA475C5A9FE80A82265
公开范围: 完全公开
危害等级: 4
文件长度: 88,576 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX
二、 病毒描述:
该恶意代码文件为恶意广告类木马,病毒运行后创建注册表项,弹出消息框(检测到您的系统设置与播放器有冲突!请点击桌面高清电影开始激情体验)的提示,调用iexplore.exe弹出一个广告连接网址,遍历C:\Documents and Settings\a\「开始」菜单\程序目录下是否存在*.url、*.lnk文件,如有则删除,创建一个Internet Explorer快捷方式到该目录下修改目标位置为:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.74***.com/?zzp使其打开时弹出指定的广告网址,创建多个*.url、*.lnk文件快捷方式到桌面,添加多个广告网址到IE浏览器的收藏夹内,修改注册表隐藏桌面上的Internet Explorer浏览器的右键菜单项,修改360安全浏览器的配置文件改为病毒指定的广告网址,试图创建修改%Documents and Settings%\a\Application Data\文件夹内的火狐浏览器、TT浏览器的配置文件的主页改为病毒指定的广告地址,创建多个.ico文件图标到%System32%目录下来设置病毒在桌面创建的.lnk文件的图标,修改注册表项创建3个.lnk文件到桌面使其无法正常删除。
三、 行为分析:
本地行为:
1、弹出消息框(检测到您的系统设置与播放器有冲突!请点击桌面高清电影开始激情体验)的提示,调用iexplore.exe弹出一个广告连接网址:http://tc.***.cn,遍历C:\Documents and Settings\a\「开始」菜单\程序目录下是否存在*.url、*.lnk文件,如有则删除
2、文件运行后会释放以下文件
%System32%\was3v.exe (随机病毒名)
%Documents and Settings%\当前所在用户\Local Settings\Temp\~32964.exe (随机病毒名)
3、修改、添加注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command\@
新: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe http://www.74***.com/?zzp"
旧: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe".
描述:修改iexplore.exe使其打开后自动弹出广告网址
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\RunOnceComplete
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\RunOnceHasShown
值: DWORD: 1 (0x1)
描述:去掉IE7启动页http://run****.msn.com/runonce3.aspx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithP
rogids\lnkfile
值: <值未设置>
描述:修改快捷方式lnk打开方式
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
描述:添加注册表隐藏桌面上的IE图标
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}
\InProcServer32\@
值: 字符串: "%SystemRoot%\system32\shdocvw.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}
\shell\Open\@
值: 字符串: "打开主页(&H)"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}
\shell\Open\Command\@
值: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe h%t%t%p%:%/%/%1w%4w%8w%.%17%
14%24%24%93%.%1c%2o%5m%/%?%3z%3z%3p"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}
\shell\Open\Command\@
值: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe h%t%t%p%:%/%/%1w%4w%8w%.%17%
14%24%24%93%.%1c%2o%5m%/%?%3z%3z%3p"
描述:创建注册表设置文件右键打开菜单项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}\ShellFolder\HideFolderVerbs
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}\ShellFolder\HideOnDesktopPerUser
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}\ShellFolder\WantsParseDisplayName
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2857FA48-876F-43a8-816F-7DD376B61039}\ShellFolder\HideFolderVerbs
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2857FA48-876F-43a8-816F-7DD376B61039}\ShellFolder\HideOnDesktopPerUser
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2857FA48-876F-43a8-816F-7DD376B61039}\ShellFolder\WantsParseDisplayName
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2857FA48-876F-43a8-816F-7DD376B61039}\shell\Open\Command\@
值: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe h%t%t%p%:%/%/%6w%6w%6w%.%6n%63%65%.%6c%6n%:%28%70%58%40%/"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2857FA48-876F-43a8-816F-7DD376B61039}\shell\Open\@
值: 字符串: "打开(&H)"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\shell\Open\Command\@
值: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe h%t%t%p%:%/%/%6t.%6m%63%62%.%6c%6n%/"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\shell\Open\@
值: 字符串: "打开(&H)"
描述:创建注册表设置文件右键打开菜单项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\InProcServer32\@
值: 字符串: "%SystemRoot%\system32\shdocvw.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\ShellFolder\HideFolderVerbs
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\ShellFolder\HideOnDesktopPerUser
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\ShellFolder\WantsParseDisplayName
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{13572CC5-79CB-4eff-AFB1-556728C24CC4}\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{2857FA48-876F-43a8-816F-7DD376B61039}\
描述:创建注桌面3个CLSID值图标
4、创建一个Internet Explorer快捷方式到该目录下修改目标位置为:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.74***.com/?zzp使其打开时弹出指定的广告网址,创建多个*.url、*.lnk文件快捷方式到桌面,添加多个广告网址到IE浏览器的收藏夹内,修改注册表隐藏桌面上的Internet Explorer浏览器的右键菜单项,修改360安全浏览器的配置文件改为病毒指定的广告网址,试图创建修改%Documents and Settings%\a\Application Data\文件夹内的火狐浏览器、TT浏览器的配置文件的主页改为病毒指定的广告地址
网络行为:
协议:TCP
端口:80
域名:http://tc.***.cn
描述:运行后自动弹出网页连接以上地址
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
%Windir% WINDODWS所在目录
%DriveLetter% 逻辑驱动器根目录
%ProgramFiles% 系统程序默认安装目录
%HomeDrive% 当前启动的系统的所在分区
%Documents and Settings% 当前用户文档根目录
%Temp% \Documents and Settings
\当前用户\Local Settings\Temp
%System32% 系统的 System32文件夹
Windows2000/NT中默认的安装路径是C:\Winnt\System32
windows95/98/me中默认的安装路径是%WINDOWS%\System
windowsXP中默认的安装路径是%system32%
四、 清除方案:
1、使用安天防线可彻底清除此病毒(推荐)。
请到安天网站下载:http://www.antiy.com
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1)进入安全模式下
(2) 强行删除病毒衍生的文件
%System32%\viebu4icon.ico
%System32%\diricon.ico
%System32%\mensdyicon.ico
%Documents and Settings%\All Users\桌面\Internet Explorer.lnk
%Documents and Settings%\All Users\桌面\创业投资好项目.url
%Documents and Settings%\All Users\「开始」菜单\程序\Internet Explorer.lnk
%Documents and Settings%\All Users\「开始」菜单\Internet Explorer.lnk
%Documents and Settings%\当前所在用户\「开始」菜单\程序\Internet Explorer.lnk
%Documents and Settings%\当前所在用户\「开始」菜单\Internet Explorer.lnk
%Documents and Settings%\当前所在用户\Favorites\网址大全.url
%Documents and Settings%\当前所在用户\Favorites\精彩小游戏.url
%Documents and Settings%\当前所在用户\Favorites\不死高清电影.url
(3)删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command\@
新: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe http://www.74443.com/?zzp"
旧: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe".
恢复病毒修改的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\RunOnceComplete
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\RunOnceHasShown
值: DWORD: 1 (0x1)
删除以上添加的注册表项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
删除ClassicStartMenu键值下的{871C5380-42A0-1069-A2EA-08002B30309D}键
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}
删除CLSID键值下的{13572CC5-79CB-4eff-AFB1-556728C24CC4}、{2857FA48-876F-43a8-816F-7DD376B61039}、{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\
删除NameSpace键下的
{2857FA48-876F-43a8-816F-7DD376B61039}、{13572CC5-79CB-4eff-AFB1-556728C24CC4}、{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}键
修复IE桌面图标将以下代码保存为.reg文件双击导入注册表即可:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}]
"InfoTip"=hex(2):40,00,73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,\
6c,00,6c,00,2c,00,2d,00,38,00,38,00,31,00,00,00
"LocalizedString"=hex(2):40,00,73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,\
64,00,6c,00,6c,00,2c,00,2d,00,38,00,38,00,30,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\DefaultIcon]
@=hex(2):73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,6c,00,6c,00,2c,\
00,2d,00,31,00,39,00,30,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
64,00,6f,00,63,00,76,00,77,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell]
@="OpenHomePage"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage]
@="打开主页(&H)"
"MUIVerb"="@shdoclc.dll,-10241"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\ShellFolder]
"Attributes"=dword:00000024
"HideFolderVerbs"=""
"WantsParseDisplayName"=""
"HideOnDesktopPerUser"=""
注意:(病毒添加的注册表项、有权限设置如果提示无法删除请鼠标右键单击权限将Everyone用户添加进去给予完全控制打钩即可删除) |
|
发表于 2009-12-30 14:40
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡