桌面流氓
Trojan.Win32.StartPage.ece
捕獲時(shí)間
2011-03-24
危害等級(jí)
中
病毒癥狀
該樣本是使用“VC ”編寫的“桌面流氓廣告程序”,由微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲, 采用“ASPack”加殼方式,企圖躲避特征碼掃描,加殼后長(zhǎng)度為“421,403”字節(jié),圖標(biāo)為“
”,使用“exe”擴(kuò)展名,通過文件捆綁、網(wǎng)頁掛馬、下載器下載等方式進(jìn)行傳播。病毒主要目的是修改用戶IE主頁。當(dāng)用戶計(jì)算機(jī)感染此木馬病毒后,殺毒軟件窗口自動(dòng)關(guān)閉,修改用戶IE主頁,并且發(fā)現(xiàn)未知進(jìn)程等現(xiàn)象.
感染對(duì)象
Windows 2000/Windows XP/Windows 2003/Windows Vista/ Windows 7
傳播途徑
文件捆綁、網(wǎng)頁掛馬、下載器下載
防范措施
已安裝使用微點(diǎn)主動(dòng)防御軟件的用戶,無須任何設(shè)置,微點(diǎn)主動(dòng)防御將自動(dòng)保護(hù)您的系統(tǒng)免受該病毒的入侵和破壞。無論您是否已經(jīng)升級(jí)到最新版本,微點(diǎn)主動(dòng)防御都能夠有效清除該病毒。如果您沒有將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版,微點(diǎn)主動(dòng)防御軟件在發(fā)現(xiàn)該病毒后將報(bào)警提示您發(fā)現(xiàn)“未知木馬”,請(qǐng)直接選擇刪除處理(如圖1)
圖1 微點(diǎn)主動(dòng)防御軟件自動(dòng)捕獲未知病毒(未升級(jí))
如果您已經(jīng)將微點(diǎn)主動(dòng)防御軟件升級(jí)到最新版本,微點(diǎn)將報(bào)警提示您發(fā)現(xiàn)木馬"Trojan.Win32.StartPage.ece”,請(qǐng)直接選擇刪除(如圖2)。
圖2 微點(diǎn)主動(dòng)防御軟件升級(jí)后截獲已知病毒
未安裝微點(diǎn)主動(dòng)防御軟件的手動(dòng)解決辦法:
1.手動(dòng)刪除文件
刪除 %SystemRoot%\web\Index.htm
刪除 %SystemRoot%\web\Index.html
刪除 %ProgramFiles%\Common Files\System\taobao.ico
刪除 %ProgramFiles%\Common Files\SD.ico
刪除 D:\360\svchost.exe
2.導(dǎo)入正常文件C:\Windows \system32\drivers\etc\hosts
3.使用“微點(diǎn)桌面廣告清除工具”清理桌面。
變量聲明:
%SystemDriver% 系統(tǒng)所在分區(qū),通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄,通常為“C:\Documents and Settings”
%Temp% 臨時(shí)文件夾,通常為“C:\Documents and Settings\當(dāng)前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統(tǒng)程序默認(rèn)安裝目錄,通常為:“C:\ProgramFiles”
病毒分析:
1.首先該病毒建立互斥體變量名稱為:"MutexNPA_UnitVersioning_2608",防止程序多次運(yùn)行。
在系統(tǒng)目錄下創(chuàng)建注冊(cè)表文件"C:\WINDOWS\system32\msscp.reg",內(nèi)容為:Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
緊接著創(chuàng)建進(jìn)程,以隱藏命令行的形式導(dǎo)入該注冊(cè)表信息CommandLine = "C:\WINDOWS\regedit.exe /S C:\WINDOWS\system32\msscp.reg"。目的是禁止隱藏的文件顯示。
2.該病毒經(jīng)過一串字符串,解密相關(guān)的網(wǎng)址信息。
3.繼續(xù)創(chuàng)建圖標(biāo)文件“%Program Files%\Common Files\System\taobao.ico”
4.然后刪除IE桌面快捷方式,刪除淘寶網(wǎng)的快捷方式,刪除360安全衛(wèi)士的快捷方式,刪除360軟件管家的快捷方式,刪除360殺毒快捷方式,刪除瑞星殺毒軟件的快捷方式,刪除修復(fù)瑞星軟件的快捷方式,刪除帳號(hào)保險(xiǎn)柜的快捷方式,刪除開始菜單目錄下的IE快捷方式,
刪除開始菜單目錄下的淘寶網(wǎng)等一些快捷方式。刪除"%Documents and Settings%\當(dāng)前用戶\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.url",刪除"%Documents and Settings%\當(dāng)前用戶\Application Data\Microsoft\Internet Explorer\Quick Launch\淘寶網(wǎng).lnk",刪除"%Documents and Settings%\當(dāng)前用戶\Application Data\360se\360se_s.ini"等一些文件。
5.刪除并修改相關(guān)注冊(cè)表信息,生成大量垃圾注冊(cè)表項(xiàng)。
6.病毒通過用戶安裝的世界之窗瀏覽器訪問http://www.58lala.com/?333,修改注冊(cè)表信息:
"HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\TheWorld.exe\shell\open\command"
修改配置文件"TheWorld.ini",設(shè)置主頁為http://www.58lala.com/?333
7.在"C:\Documents and Settings\當(dāng)前用戶\Application Data\360se\360se.ini"修改配置文件"360se.ini",設(shè)置主頁為http://www.58lala.com/?333
8.病毒在Windows目錄下創(chuàng)建文件"C:\WINDOWS\web\Index.htm"指向http://www.58lala.com/taobao.html網(wǎng)址,以及創(chuàng)建"C:\WINDOWS\web\Index.html"指向http://www.58lala.com/?333網(wǎng)址。
9.然后將C:\Documents and Settings\當(dāng)前用戶\Application Data\Microsoft\Internet Explorer\Quick Launch\Internet Explorer.lnk指向目標(biāo)“IEXPLORE.EXE" C:\WINDOWS\web\Index.html”
將C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\Internet Explorer.lnk指向目標(biāo)“IEXPLORE.EXE" C:\WINDOWS\web\Index.html”
將C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\淘寶網(wǎng)!.lnk指向目標(biāo)“IEXPLORE.EXE" C:\WINDOWS\web\Index.html”
將C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\程序\Internet Explorer.lnk指向目標(biāo)“IEXPLORE.EXE" C:\WINDOWS\web\Index.html”
將C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\程序\淘寶網(wǎng)!.lnk指向目標(biāo)“IEXPLORE.EXE" C:\WINDOWS\web\Index.html”
10.對(duì)注冊(cè)表進(jìn)行權(quán)限設(shè)置為"everyone",然后恢復(fù)到以前的權(quán)限設(shè)置。
11.修改host文件,屏蔽相關(guān)網(wǎng)站
12.在D盤符下創(chuàng)建文件"D:\360\svchost.exe",然后以外部命令執(zhí)行該程序。緊接著刪除"C:\WINDOWS\system32\msscp.reg"注冊(cè)表文件。
13.svchost.exe運(yùn)行之后,刪除快捷方式C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\360安全衛(wèi)士.lnk, 刪除快捷方式C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\360軟件管家.lnk, 刪除快捷方式C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\程序\360安全衛(wèi)士.lnk, 刪除快捷方式C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\程序\360軟件管家.lnk, 刪除快捷方式C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\程序\修復(fù)360安全軟件.url,
刪除快捷方式C:\Documents and Settings\ All Users\「開始」菜單\程序\360殺毒\360殺毒.lnk,刪除快捷方式C:\Documents and Settings\ All Users\「開始」菜單\程序\360殺毒\病毒隔離區(qū).lnk, 刪除快捷方式C:\Documents and Settings\ All Users\「開始」菜單\程序\360殺毒\卸載360殺毒.lnk, 刪除快捷方式C:\Documents and Settings\ All Users\「開始」菜單\程序\360殺毒\修復(fù)360殺毒.lnk,
刪除快捷方式C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\程序\360安全衛(wèi)士\360安全衛(wèi)士.lnk, 刪除快捷方式C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\程序\360安全衛(wèi)士\卸載360安全衛(wèi)士.lnk, 刪除快捷方式C:\Documents and Settings\當(dāng)前用戶\「開始」菜單\程序\360安全衛(wèi)士\修復(fù)360安全衛(wèi)士.lnk,
刪除快捷方式C:\Documents and Settings\ All Users \桌面\360安全衛(wèi)士.lnk,刪除快捷方式C:\Documents and Settings\ All Users \桌面\360安全桌面.lnk,刪除快捷方式C:\Documents and Settings\ All Users \桌面\360軟件管家.lnk,刪除快捷方式C:\Documents and Settings\ All Users \桌面\強(qiáng)力卸載電腦上的軟件.lnk,刪除快捷方式C:\Documents and Settings\ All Users \桌面\360殺毒.lnk
14.svchost.exe創(chuàng)建圖標(biāo)文件“C:\Program Files\Common Files\Safe.ico”,以及建立“C:\Program Files\Common Files\SD.ico”,然后休眠4000ms時(shí)間,然后枚舉查找可牛,360,金山衛(wèi)士,金山毒霸,自動(dòng)安裝程序等窗口,找到以后結(jié)束之。
15.一直循環(huán)休眠1200ms時(shí)間,枚舉查找可牛,360,金山衛(wèi)士,金山毒霸,自動(dòng)安裝程序等窗口,找到以后結(jié)束之。
病毒創(chuàng)建文件:
%SystemRoot%\system32\msscp.reg
%SystemRoot%\web\Index.htm
%SystemRoot%\web\Index.html
D:\360\svchost.exe
%ProgramFiles%\Common Files\System\taobao.ico
%ProgramFiles%\Common Files\Safe.ico
%ProgramFiles%\Common Files\SD.ico
%SystemRoot%\system32\drivers\etc\hosts
病毒創(chuàng)建注冊(cè)表:
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD42}\DefaultIcon
名稱:默認(rèn)
數(shù)據(jù):C:\Program Files\Internet Explorer\IEXPLORE.EXE
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD42}\Shell\Open(&O)
名稱:默認(rèn)
數(shù)據(jù):打開主頁(&H)
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD42}\Shell\Open(&O)\Command
名稱:默認(rèn)
數(shù)據(jù):iexplore.exe C:\WINDOWS\Web\index.html
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD42}\Shell\刪除(&D)\Command
名稱:默認(rèn)
數(shù)據(jù):Rundll32.exe
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD42}\Shell\重命名(&M)\Command
名稱:默認(rèn)
數(shù)據(jù):Rundll32.exe
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD42}\Shell\屬性(&R)\Command
名稱:默認(rèn)
數(shù)據(jù):Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD43}\DefaultIcon
名稱:默認(rèn)
數(shù)據(jù):C:\Program Files\Common Files\System\taobao.ico
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD43}\Shell\Open(&O)
名稱:默認(rèn)
數(shù)據(jù):打開淘寶網(wǎng)(&T)
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD43}\Shell\Open(&O)\Command
名稱:默認(rèn)
數(shù)據(jù):iexplore.exe C:\WINDOWS\Web\index.html
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD43}\Shell\刪除(&D)\Command
名稱:默認(rèn)
數(shù)據(jù):Rundll32.exe
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD43}\Shell\重命名(&M)\Command
名稱:默認(rèn)
數(shù)據(jù):Rundll32.exe
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD43}\Shell\屬性(&R)\Command
名稱:默認(rèn)
數(shù)據(jù):Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD43}\ShellFolder
名稱:HideOnDesktopPerUser
數(shù)據(jù):1
HKEY_CLASSES_ROOT\CLSID\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD43}\ShellFolder
名稱:HideFolderVerbs
數(shù)據(jù):1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD42}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{F3CA57DF-C5DA-11CF-8F28-00AA0060FD43}
病毒訪問網(wǎng)絡(luò):
http://www.ha**2.com/shangcheng.html
http://www.ha**2.com/taobao.html
http://www.58**a.com/taobao.html
http://www.58**a.com/?333
