当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
IE主页被改为wxw.3448.com的解决教程 | |||
2006-11-26 15:31:16 文/佚名 出处:电脑软硬件应用网 | |||
这是一个使用[Borland C++]编写的病毒 系统被感染后,打开IE或者其他浏览器起始页面被篡改为hxxp://wxw.3448.c0m/。 病毒通过API HOOK自我保护。 通过其他恶意程序或者自身下载升级下载并得到执行,使用随机文件名达到屏蔽文件名清除模式。 病毒运行后有以下行为: 一、病毒通过修改注册表Softwaremicrosoftwindowscurrentversion un达到开机自动运行的目的。 病毒主要通过Rundll32.exe加载。 病毒还感染Tencent QQ的TimProxy.dll文件的导入表,可以在用户启动QQ的时候加载。 加载后使用消息钩子注入各进程,并根据进程名做不同的动作。 主要有: 1、HOOK进程API,自我保护。 2、注入在QQ.EXE进程中的,仅做修改注册表的动作。 3、注入在EXPLORER.EXE进程中的病毒主要做一下动作。 (1)主要破坏注册表SafeBoot键,导致无法进入安全模式。 (2)下载文件并通过文件类型更新,运行或者替换HOSTS文件。 (3)感染Tencent QQ的TimProxy.dll文件的导入表。 二、通过Rundll32.exe加载的病毒,会把自己复制到系统目录(%SYSTEMDIR%)和驱动目录(%SYSTEMDIR%Drivers)。 三、修改注册表以下键值: 注册表键:SoftwareMicrosoftInternet ExplorerMain 数据项:"Start Page" 数据值为:"http://www.3448.com" 注册表键:SoftwareMicrosoftInternet ExplorerSearch 数据项:"CustomizeSearch" 数据值为:"http://www.3448.com" 注册表键:SoftwareMicrosoftInternet ExplorerSearch 数据项:"SearchAssistant" 数据值为:"http://www.3448.com" 四、搜索进程名或者窗口文字包含以下字符串的进程,发现后关闭计算机。 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |