Trojan/Startpage.lw

病毒簡介

Trojan/Startpage.lw
病毒長度：4,096 位元組(BAT), 76 KB(HTML), 41 KB(EXE)
病毒類型：木馬
危害等級：*
影響平台：Win9X/2000/XP/NT/Me/2003

病毒描述及傳播過程

Trojan/Startpage.lw是一種木馬程式，它可以修改TCP/IP設定指向不同的DNS伺服器。它本身並不能自我複製進行傳播，為了能讓自已感染其它計算機，它只能利用含有惡意代碼的HTML檔案進行傳播。
當含有該木馬程式的HTML檔案被打開時：
1.在系統目錄下生成Aolfix.exe檔案並執行。
Aolfix.exe檔案的作用是：
創建資料夾C:\Bdtmp\Tmp(隱藏屬性)，並在該目錄下生成一個自動批處理檔案，檔案名稱是從100到9999之間的隨機數的.bat檔案。
刪除自生成的檔案，使得批處理檔案執行後即被刪除。
2.當生成的批處理檔案被自動執行後，生成檔案：
%Windir%\o.reg
%Windir%\o2.reg
%Windir%\o.vbs
3.當病毒生成的.reg檔案被執行後，修改註冊表：
【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\MSTCP】
"EnableDNS"="1"
"NameServer"="<指向批處理檔案的IP位址>"
"HostName"="host"
"Domain"="mydomain.com"
【HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings】
"ProxyEnable"="0"
"MigrateProxy"="0"鍵值
【HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main】
"Use Search Asst"="no"
"Search Page"="http://www.google.com"
"Search Bar"="http://www.google.com/ie"
【HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURL】
"="http://www.google.com/keyword/%%s"
"provider"="gogl"
【HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Search】
"SearchAssistant"="http://www.google.com/ie"
【HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters】
【HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters】
"DataBasePath"="%SystemRoot%\help"
【HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\Windows】
【HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\Windows】
"r0x"="your s0x"
【HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces】
【HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces】
"NameServer"="<指向批處理檔案的IP位址>"
完成上述操作後，木馬會自動刪除Aolfix.exe檔案。
註：%Windir%為變數，一般為C:\Windows 或 C:\Winnt；
%System%為變數，一般為C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000),
或 C:\Windows\System32 (Windows XP)。