病毒名称:
Trojan.Win32.StartPage.cf.enc
类别: 木马病毒
病毒资料:
破坏方法:
一、系统中的病毒文件
%WINDOWS%\svchost.exe
被破坏的系统文件
%SYSTEM%\drivers\etc\hosts
二、对注册表的破坏
1HKEY_LOCAL_MACHINE\Software\Microsoft\Internet EXPlorer\Main
"start page" : HTTP://FREEDNSHOST.INFO
2 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"start page" : HTTP://FREEDNSHOST.INFO
3 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"search page" : HTTP://FREEDNSHOST.INFO/PAGE/
4 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"search page" : HTTP://FREEDNSHOST.INFO/PAGE/
5 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"search bar" : HTTP://FREEDNSHOST.INFO/PAGE/
6 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"search bar" : HTTP://FREEDNSHOST.INFO/PAGE/
7 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"default_page_url" : HTTP://FREEDNSHOST.INFO
8 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"default_page_url" : HTTP://FREEDNSHOST.INFO
9 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"default_search_url" : HTTP://FREEDNSHOST.INFO/PAGE/
10 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"default_search_url" : HTTP://FREEDNSHOST.INFO/PAGE/
11 HKEY_LOCAL_MACHINE\Software\Microsoft\internet explorer "searchurl" : HTTP://FREEDNSHOST.INFO/PAGE/
12 HKEY_CURRENT_USER\Software\Microsoft\internet explorer "searchurl" : HTTP://FREEDNSHOST.INFO/PAGE/
13 HKEY_LOCAL_MACHINE\Software\Microsoft\internet explorer\search "CustomizeSearch" : HTTP://213.159.118.226/SP.PHP
14 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Network Service" : %WINDOWS%\SVCHOST.EXE -SR -0
15 HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Run
"Network Service" : %WINDOWS%\SVCHOST.EXE -SR -0
16. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\(Default) "http://freednshost.info/page/"
17. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes "www" : "http://freednshost.info/page/"
18. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes "SearchAssistant" : "http://213.159.118.226/sp.php"
三、修改hosts,访问下列网址时,都连接病毒设置的网站“213.159.118.226”。
teen-biz.com
teenhqpics.com
tits.hardcore4ever.net
webcoolsearch.com
wmmse.com
www.008i.com
www.2fastsearch.net
www.8095.com
www.alfa-search.com
www.boredlife.com
www.couldnotfind.com
www.cracks.am
www.daum.net
www.dreamwiz.com
www.find-itnow.com
www.find-itnow.com
www.find4u.net
www.firstbookmark.com
www.gajai.com
www.hand-book.com
www.hao123.com
www.hotsearchbox.com
www.hotwebsearch.com
www.hugesearch.net
www.iquicksearch.com
www.lookfor.cc
www.maxxxhosters.com
www.naver.com
www.nkvd.us
www.novafUCk.com
www.ohcorea.com
www.omega-search.com
www.onet.pl
www.power-search.info
www.rightfinder.net
www.search-1.net
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-4-22
