TrojanClicker.Qhost.a

TrojanClicker.Qhost.a

病毒长度：变长

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

TrojanClicker.Qhost.a是用VC++编写的木马程序，为了能指向不同的DNS服务器更改TCP/IP设置，并修改你的IE默认页及搜索页。

传播过程及特征：

1.创建下列文件：

%WinDir%weboslogo.bmp, 1287字节

%WinDir%hosts, 32字节

2.修改注册表：

病毒通过修改下列注册表键值，改变IE默认主页等信息：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet Explorer]

"Search" = http://%6f%75%74%2e%74%72%75%65%2d%63%6f%75%6e%74%65%72%2e%63%6f%6d/%62/?%38%34%30%38%32%38

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain]

"Default_Search_URL" = http://%6f%75%74%2e%74%72%75%65%2d%63%6f%75%6e%74%65%72%2e%63%6f%6d%62%38%34%30%38%32%38

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain]

"Search Page" = http://%6f%75%74%2e%74%72%75%65%2d%63%6f%75%6e%74%65%72%2e%63%6f%6d%62%38%34%30%38%32%38

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerStyles]

"User Stylesheet" = c:windowsweboslogo.bmp

3.在HOSTS文件里添加信息，导致不能访问站点

<一个无效的IP地址> auto.search.msn.com

注：%WinDir%为变量，一般为C:Windows 或 C:Winnt；

%System%为变量，一般为C:WindowsSystem (Windows 95/98/Me), C:WinntSystem32 (Windows NT/2000),

或 C:WindowsSystem32 (Windows XP)。

• ·华硕P5LD2
• ·Worm/Supkp.w
• ·Exploit.CodeBaseExec.b
• ·123木头人
• ·TFLOPS
• ·魏宗万
• ·Backdoor/IRC.RpcBot
• ·戴宪华
• ·黄继武
• ·东三省