爱毒霸社区
拒绝当“肉鸡” 保安获大奖!
顽固病毒解决方案大全
一点一滴学电脑应用技巧
毒霸2008教程——清理专家
欺骗是攻击者最热衷的手法
爱毒霸社区推荐安全工具下载
如何使用命令行查毒
远程清除机器狗病毒实战
清理专家在手,菜鸟杀毒不愁
如何判断进程或程序是否安全
windows安全漏洞的解释索引
史上最强磁碟机病毒清除思路
金山ARP防火墙1.2版功能简介
Win32.Troj.StartPage.251392
病毒名称(中文):
李鬼卫士
病毒别名:
威胁级别:
★☆☆☆☆
病毒类型:
木马程序
病毒长度:
124928
影响系统:
Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个用VB编写的木马程序变种。病毒伪装成安全辅助软件“360安全卫士”的相关文件,骗取用户点击。它成功运行后,会修改IE浏览器的默认首页、增加IE浏览器扩展按钮,还会将用户的网卡物理地址、计算机名称等信息发送至远程服务器。
(1)运行后释放文件
%sys32dir%\360Safe.exe
%sys32dir%\360Server.exe
%sys32dir%\AllRight.exe
%sys32dir%\MSINET.OCX(VB控件)
%sys32dir%\NTVBSvcW.tlb(类型库文件)
%sys32dir%\SoftIcon.ico(图标文件)
(2)运行后添加注册表项
HKEY_CLASSES_ROOT\InetCtls.Inet
HKEY_CLASSES_ROOT\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\Interface\{48E59291-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\Interface\{48E59292-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\CmdMapping {b9fea863-f81c-1194-9dbd-212599424149}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\InetCtls.Inet
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{48E59291-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{b9fea863-f81c-1194-9dbd-212599424149}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_360SAFE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\360Safe
(3)运行后修改注册表项
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main Start Page www.007788.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main Start Page www.007788.com
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main Default_Page_URL www.007788.com
(4)病毒运行后尝试修改IE浏览器首页,并尝试弹出新IE窗口打开这个网址
(5)病毒尝试为IE浏览器增加一个扩展功能按钮:访问007788
(6)病毒尝试增加一个系统服务,描述如下:
服务名:360safe
显示名称:360Safe Server
描述:360Safe Server
映像路径:%sys32dir%\360Server.exe
启动类型:自动
(7)病毒运行后以下两个进程会被创建并运行:
360Safe.exe
360Server.exe
其中360Safe.exe进程在后台监控并还原首页地址
(8)病毒文件伪装成360安全卫士,诱惑用户点击,文件属性信息如下:
文件版本:1.0.0.0
产品版本:1.00
产品名称:360Safe
公司名称:奇虎网
内部名称:4
语言:中文(中国)
源文件名:4.exe
(9)病毒尝试统计中毒者机器信息,如网卡物理地址、计算机名等,然后发送至远程服务器
hxxp://www.0**7*8.com/tongji.php?mac=000000000000COMPUTERNAME&p=AE8795FFF80D&id=3
特别提示:上述描述仅为金山软件进行病毒或其他恶意、不良程序测试过程中的事实情况记录,病毒或其他恶意、不良程序在不同的软硬件环境下具体行为可能存在差异,该显示结果并不必然具备推广适用性。