文件名称：lass.exe

文件大小：65536 bytes

AV命名：

Trojan.StartPage.xar（Webwasher-Gateway）

Trojan-Downloader.Win32.VB.aoe（Ikarus）

Trojan.Win32.StartPage.azd（Kaspersky）

加壳方式：未

编写语言：Microsoft Visual Basic 5.0 / 6.0

文件MD5：513dc8a221e5a94a4bba2e0ee121da36

行为分析：

1、释放文件：

C:\Program Files\lass.exe  65536 字节

2、添加启动：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 (注册表值) wdowsxp = REG_SZ, "C:\Program Files\lass.exe /start"

3、修改IE主页为：hxxp://bbs.zmke.com

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

        (注册表值) Start Page

        REG_SZ, "about:blank" ==> REG_SZ, "hxxp://bbs.zmke.com"

4、修改注册表，不允许改回主页：

HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions

(注册表值) NoBrowserOptions = REG_SZ, "1"

5、修改注册表，禁用任务管理器，防止病毒体被结束：

   Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

   Registry value: DisableRegistryTools

   New value:

      Type: REG_SZ

      Value: 1

   Previous value:

      Type: REG_DWORD

Value: 00000000

6、链接222.77.187.2××（福建福州）提交计算机的一些敏感信息。

解决方法：

1、下载SREng(可到down.45it.com下载)，后断开网络

2、删除启动项：wdowsxp（详细步骤：打开SREng－启动项目－注册表）

3、删除文件：C:\Program Files\lass.exe