病毒名称:
Trojan.Startpage.QQ2004.a
类别: 木马病毒
病毒资料:
破坏方法:
这是一个木马,采用VB编写,用UPX加壳。
此病毒通过网页漏洞进行传播,当用户点击网站http://***mm.so8.com/时,病毒开始下载到本地并运行。
病毒开始运行后将自己复制到Windows目录下(98为windows,2k/NT/XP为Windows),文件名为QQ2004.exe,而且采用的图标也是QQ的图标,企图迷惑用户。然后开始循环将QQ2004.exe复制到c,d,e,f盘根目录。
添加以下注册表项
HKCU\Software\Microsoft\Windows
\CurrentVersion\Run
QQ2004 = "C:\WINNT\QQ2004.exe"
HKCU\Software\Microsoft\Windows
\CurrentVersion\RunOnce
QQ2004 = "C:\WINNT\QQ2004.exe"
这样,每次开机病毒都能启动。
病毒是循环添加注册表项,所以病毒结束以前手工清除注册表项起不到作用。
通过修改注册表来修改IE设置,将IE首页和搜索页改为病毒指定网址http://***mm.so8.com。
并且通过修改注册表项:
HKLM\Software\Microsoft\Internet Explorer\Main\UrlTemplate\1 :
"http://***mm.so8.com"
HKLM\Software\Microsoft\Internet Explorer\Main\UrlTemplate\2 :
"http://***mm.so8.com"
HKLM\Software\Microsoft\Internet Explorer\Main\UrlTemplate\3 :
"http://***mm.so8.com"
HKLM\Software\Microsoft\Internet Explorer\Main\UrlTemplate\4 :
"http://***mm.so8.com"
使用户在IE地址栏中输入网址时,下拉框中前4项都是http://***mm.so8.com 。一不小心又会连上网站。
将3个网址文件【日本美女激情写真】.url,【免费激情电影】.url,【游戏外挂网】.url 复制多份到硬盘上。复制的目录包括c,d,e,f,g盘根目录,windows目录,系统目录,My Documents目录,Favorites目录,「开始」菜单,程序菜单.. 等等。
由于病毒是循环复制这些文件,所以在清除病毒前用户无法手工清除这些网址文件。
网址文件中指向的网址为:http://***homepage.so8.com,http://***film.so8.com或http://***wg.so8.com,均为非法网站。
搜索IE窗体,发现窗体有如下字符串则转向http://***www.duola.com/index2.htm。
上网助手 - Microsoft Internet Explorer
114.Com.cn - Microsoft Internet Explorer
好123网址之家---实用网址,搜索大全,尽在www.hao123.com - Microsoft Internet Explorer
265上网导航_网址_搜索_音乐_娱乐_图片_社区 - Microsoft Internet Explorer
找不到服务器 - Microsoft Internet Explorer
本页无法显示 - Microsoft Internet Explorer
网页不存在 - Microsoft Internet Explorer
网页无法显示 - Microsoft Internet Explorer
您没有权限查看该网页 - Microsoft Internet Explorer
无法找到网页 - Microsoft Internet Explorer
无法找到 Web 站点 - Microsoft Internet Explorer
HTTP 404 未找到 - Microsoft Internet Explorer
403 Forbidden - Microsoft Internet Explorer
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-12-21
