Win32.Troj.StartPage.ho

病毒名称(中文):

"WEB封锁"变种ho

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

木马程序

病毒长度:

5120

影响系统:

Win9xWinNTWin2000WinXPWin2003

病毒行为:

编写工具:

MicrosoftVisualC++6

传染条件:

发作条件:

系统修改:

A、在生成文件：

"%SystemRoot%hosts"

将原来的"%Sytem%driversetchosts"也替换为上面生成的这个文件。

通过修改该文件，用户将无法访问文件中列出的这些网站

B、在注册表主键HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMain下添加键值：

"Default_Page_URL"="http://cashsearch.biz/redir.php"

在注册表主键HKEY_CURRENT_USERSoftwareMicrosoftInternetExplorerMain下修改如下键值：

"LocalPage"="C:WINNTSystem32lank.htm"

"StartPage"="about:blank"

为

"LocalPage"="http://cashsearch.biz/redir.php"

"StartPage"="http://cashsearch.biz/redir.php"

在注册表主键HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternetExplorerMain下修改如下键值：

"Default_Page_URL"="http://www.microsoft.com/windows/ie_intl/cn/start/"

"LocalPage"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,62,6c,61,6e,6b,2e,68,74,6d,00

"StartPage"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

为

"Default_Page_URL"="http://cashsearch.biz/redir.php"

"LocalPage"="http://cashsearch.biz/redir.php"

"StartPage"="http://cashsearch.biz/redir.php"

发作现象:

该病毒运行期间，会不断的重复进行16点所提到的修改，其现象为访问其生成的hosts文件中所列的文件的时候，地址栏会显示“连接到127.0.0.1”，然后就会被重定向到病毒所设置的页面。既试图访问这些站点的时候都会被带到病毒设置的站点去，既屏蔽了对这些站点的访问请求。

用户可以修改主页设置，但是一旦用户修改了，又马上被病毒改回来。

非凡说明:

• ·Win32.Troj.MUSteal
• ·Win32.Troj.Nethief.51
• ·Win32.Troj.Lmir.g
• ·Win32.Troj.Netsnake.h
• ·Win32.Troj.Qukart
• ·Worm.Padobot.et
• ·Win32.Hack.Rbot
• ·Win32.Troj.Agent.bh
• ·Win32.Troj.PswLmir.c
• ·Win32.Troj.Rbot