TrojanDropper.Cpan
TrojanDropper.Cpan是修改IE默认页使其指向一些色情网站的木马,它经UPX压缩过,IE默认页被修改为 webcoolsearch.com
它的传播过程为:首先安装木马程序,然后创建隐藏文件 %System%Cpan.dll
注:%System%一般为
C:WindowsSystem (Windows 95/98/Me),
C:WinntSystem32 (Windows NT/2000), or
C:WindowsSystem32 (Windows XP).
接着调用Cpan.dll 并执行下列命令:rundll32.exe ctrlpan,Restore 。
当Cpan.dll 被装载后,会有如下动作:
1.创建 %Windir%hh.htt 文件
2.在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows 下添加 "AppInit_DLLs"="cpan.dll" 键值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer 下添加 "Control" = "<number>" 键值.
3.创建或重写 %System%DriversEtcHosts file 文件,文本内容为:
127.0.0.1 localhost
213.159.117.235 auto.search.msn.com
4.在注册表 HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerStyles 下添加 "User Stylesheet"="%Windir%hh.htt"
"Use My Stylesheet"=0x1 键值
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 下添加 "Start Page"="http:/ /aifind.info/"
"Search Page"="http:/ /aifind.info/"
"Search Bar"="http:/ /aifind.info/" 键值
HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer 下添加 "SearchURL"="http:/ /aifind.info/" 键值
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch 下添加 "SearchAssistant"="http:/ /aifind.info/" 键值
5.在收藏夹里创建大量色情网站的链接。
