該病毒為流氓軟體類病毒,病毒偽裝成音效卡升級檔案以誘惑用戶點擊,病毒運行後判斷是否處理調試狀態,如是則彈出一個錯誤訊息視窗,然後退出。
基本介紹
- 中文名:Trojan/Win32.StartPage.djy[Clicker]
- 病毒類型:: 流氓軟體
- 公開範圍::完全公開
- 危害等級:: 4
病毒標籤,病毒描述,行為分析-本地行為,行為分析-網路行為,清除方案,
病毒標籤
病毒名稱: Trojan/Win32.StartPage.djy[Clicker]
病毒類型: 流氓軟體
檔案 MD5: 0EFCD49305D322C1D167D755A4D6D40C
公開範圍: 完全公開
危害等級: 4
檔案長度: 310,017 位元組
感染系統: Windows98以上版本
加殼類型: Borland Delphi 6.0 - 7.0
病毒描述
該病毒為流氓軟體類病毒,病毒偽裝成音效卡升級檔案以誘惑用戶點擊,病毒運行後判斷是否處理調試狀態,如是則彈出一個錯誤訊息視窗,然後退出。否則創建一個"AutoIt v3"的隱藏窗體,調用API函式連線指定的網路地址,下載一個病毒檔案到本地,向AutoIt v3隱藏的窗體傳送訊息,修改註冊表、刪除註冊表信息,添加註冊表啟動項,篡改IE主頁信息,釋放病毒檔案到系統目錄下、添加大量惡意地址到IE收藏夾目錄下,添加開機啟動項啟動 Internet Explorer 瀏覽器.lnk檔案,以參數啟動該捷徑檔案,被感染的機器可能會造成網路訪問速度有所下降。
行為分析-本地行為
1、病毒運行後判斷是否處理調試狀態,如是則彈出一個錯誤訊息視窗內容為:This is a compiled AutoIt script.AV researchers please email [email protected] for support.然後退出,否則創建一個"AutoIt v3"的隱藏窗體,調用API函式連線http://www.sw000**.cn/updata.jpg下載病毒到%System32目錄下。
2、檔案運行後會釋放以下檔案
%System32%\EXPL0RE.EXE
%Documents and Settings%\當前所在用戶\「開始」選單\程式\Internet Explorer.lnk
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址大全\搜網小遊戲 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址大全\搜網電影 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址大全\搜網搜尋 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址大全\搜網軟體 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址大全\搜網遊戲 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址大全\搜網熱度下載 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址 } ppppk.net**.url
%Documents and Settings%\當前所在用戶\Favorites\搜就一起上 } s9173**.cn.url
%Documents and Settings%\當前所在用戶\Favorites\搜網123 } sowang123**.cn.url
%Documents and Settings%\當前所在用戶\Favorites\搜網123 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Application Data\Microsoft\Internet Explorer\Quick Launch\啟動 Internet Explorer 瀏覽器.lnk
%Program Files%\Internet Explorer\IEXPL0RER.LNK
%Program Files%\360safe\safemon\config.ini
%Program Files%\360safe\360ss.dat
%Program Files%\360Safebox\360ss.dat
3、刪除註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ButtonText
值: 字元串: "Messenger"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\CLSID
值: 字元串: "{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\Default Visible
值: 字元串: "Yes"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\Exec
值: 字元串: "%Program Files%\Messenger\msmsgs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\HotIcon
值: 字元串: "%Program Files%\Messenger\msmsgs.exe,302"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\Icon
值: 字元串: "%Program Files%\Messenger\msmsgs.exe,301"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\MenuText
值: 字元串: "Windows Messenger"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ToolTip
值: 字元串: "Windows Messenger"
4、修改註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable
新: DWORD: 4294967197 (0xffffff9d)
舊: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字元串: "C:\WINDOWS\system32\Userinit.exe,C:\WINDOWS\system32\EXPL0RE.EXE,"
舊: 字元串: "C:\WINDOWS\system32\userinit.exe,"
描述:修改註冊表項達到開機啟動病毒
5、篡改IE主頁信息,釋放病毒檔案到系統目錄下、添加大量惡意地址到IE收藏夾目錄下,添加開機啟動項啟動 Internet Explorer 瀏覽器.lnk檔案,以"C:\Program Files\Internet Explorer\IEXPLORE.EXE" www.sowang123**.com啟動IE該捷徑檔案,調用API函式以以下參數向AutoIt v3隱藏的窗體傳送訊息
TranslateMessage
pMsg = WM_DEVICECHANGE hw = 19014A ("AutoIt v3") wParam = 7 lParam = 0
DispatchMessageW
pMsg = WM_DEVICECHANGE hw = 19014A ("AutoIt v3") wParam = 7 lParam = 0
行為分析-網路行為
協定:TCP
連線埠:80
連線地址:http://www.sw000**.cn/updata.jpg
描述:連線地址下載病毒檔案更新病毒版本
註:%System32%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程式默認安裝目錄
%HomeDrive% 當前啟動的系統的所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% \Documents and Settings\當前用戶\Local Settings\Temp
%System32% 系統的 System32資料夾
Windows2000/NT中默認的安裝路徑是C:\Winnt\System32
windows95/98/me中默認的安裝路徑是%WINDOWS%\System
windowsXP中默認的安裝路徑是%system32%
清除方案
1、使用安天防線可徹底清除此病毒.
2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 強行刪除病毒衍生的檔案
%System32%\EXPL0RE.EXE
%Documents and Settings%\當前所在用戶\「開始」選單\程式\Internet Explorer.lnk
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址大全\搜網小遊戲 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址大全\搜網電影 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址大全\搜網搜尋 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址大全\搜網軟體 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址大全\搜網遊戲 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址大全\搜網熱度下載 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Favorites\搜網金牌網址 } ppppk**.net.url
%Documents and Settings%\當前所在用戶\Favorites\搜就一起上 } s9173**.cn.url
%Documents and Settings%\當前所在用戶\Favorites\搜網123 } sowang123.cn.url
%Documents and Settings%\當前所在用戶\Favorites\搜網123 } sowang123**.com.url
%Documents and Settings%\當前所在用戶\Application Data\Microsoft\Internet Explorer\Quick Launch\啟動 Internet Explorer 瀏覽器.lnk
%Program Files%\Internet Explorer\IEXPL0RER.LNK
%Program Files%\360safe\safemon\config.ini
%Program Files%\360safe\360ss.dat
%Program Files%\360Safebox\360ss.dat
(2)恢復病毒刪除及修改的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ButtonText
值: 字元串: "Messenger"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\CLSID
值: 字元串: "{1FBA04EE-3024-11D2-8F1F-0000F87ABD16}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\Default Visible
值: 字元串: "Yes"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\Exec
值: 字元串: "%Program Files%\Messenger\msmsgs.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\HotIcon
值: 字元串: "%Program Files%\Messenger\msmsgs.exe,302"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\Icon
值: 字元串: "%Program Files%\Messenger\msmsgs.exe,301"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\MenuText
值: 字元串: "Windows Messenger"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{FB5F1910-F110-11d2-BB9E-00C04F795683}\ToolTip
值: 字元串: "Windows Messenger"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SFCDisable
新: DWORD: 4294967197 (0xffffff9d)
舊: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
新: 字元串: "C:\WINDOWS\system32\Userinit.exe,C:\WINDOWS\system32\EXPL0RE.EXE,"
舊: 字元串: "C:\WINDOWS\system32\userinit.exe,"
