病毒名称(中文):
病毒别名:
Trojan.Win32.StartPage.nk[AVP]
威胁级别:
★★☆☆☆
病毒类型:
木马程序
病毒长度:
12121
影响系统:
WinNT
病毒行为:
这是一个恶性的木马,他会将自己复制到系统目录,并将自己加载到注册表启动项。它修改感染机器的默认主页,偷取用户保存在计算机中的敏感信息;它到网上下载文件并运行;它还比较彻底的隐藏自己的进程,使用户很难察觉的病毒进程;它会尝试通过创建远程线程的方式向某些系统进程中注入病毒代码,可能导致系统进程的出错而使得系统崩溃。
1.将自身复制到系统目录%system%下,文件名字是随机产生的。
2.修改注册表。
添加注册键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"kalvsys"="%system32%\<病毒文件名>"
添加一下主键和键值:
[HKEY_CURRENT_USER\Software\LQ]
"AD"="0"
"TM"="10"
"AC"="0"
"U"="4"
"I"="{5E794E87-94C5-450A-8828-EFD8892CEEC3}"
"AT"="86400"
"AM"="6"
"TR"="126400"
"country"="China"
"city"="Lanzhou"
"state"="15"
"RX"="1"
"RX2.8"="1"
"RX2.9"="1"
"RX3.0"="1"
HKEY_LOCAL_MACHINE\SOFTWARE\ohbbackup
HKEY_LOCAL_MACHINE\SOFTWARE\Elitum
3.隐藏自己的进程,分别尝试通过创建远程线程的方式向进程svchost.exe,services.exe,explorer.exe,
iexplore.exe进程中注入病毒代码。在注入进程svchost.exe时出错导致进程svchost.exe出错而关闭,系统最终将崩溃。
4.修改用户主页以及IE设置,到指定网址下载文件并运行。
