近期安天实验室接到用户上报篡改并锁定IE首页为http://www.6656.net/yx.html的顽固样本,分析发现除过常见的锁定IE首页为流氓网站、桌面添加删除不了的假IE、假淘宝、在线游戏等快捷图标以外,流氓网站又出新花招,暗自在浏览器收藏夹、系统目录、开始菜单添加假链接,来诱骗用户点击进入恶意流氓网站,从而招致感染恶意病毒木马之祸。
用户反映,他在一个游戏下载网站下载的破解版的游戏,安装后发现浏览器首页被改成 http://www.6656.net/yx.html,同时桌面生成一堆快捷图标,无法删除。经安全工程师测试发现,这些不知名游戏下载网站上打着破解免费的幌子,实则是病毒木马的聚集地,用户一旦放松警惕误下载使用,就会中招,游戏没玩成,反而被病毒给游戏了。
用户中毒后机器上症状:
图1
图2.
图3.
图4
图5
本地磁盘释放的文件如下:
c:\Documents and Settings\Administrator\Favorites\卓越网.url c:\Documents and Settings\Administrator\Favorites\常用\卓越网.url c:\Documents and Settings\Administrator\Favorites\常用\当当网.url c:\Documents and Settings\Administrator\Favorites\常用\淘宝网今日特价区.url c:\Documents and Settings\Administrator\Favorites\常用\游戏大全.url c:\Documents and Settings\Administrator\Favorites\常用\西游·仙剑.url c:\Documents and Settings\Administrator\Favorites\常用\西游网.url c:\Documents and Settings\Administrator\Favorites\当当网.url c:\Documents and Settings\Administrator\Favorites\淘宝网今日特价区.url c:\Documents and Settings\Administrator\Favorites\游戏大全.url c:\Documents and Settings\Administrator\Favorites\西游·仙剑.url c:\Documents and Settings\Administrator\Favorites\西游网.urlc:\Documents and Settings\Administrator\「开始」菜单\Intenet Exploer.ink c:\Documents and Settings\Administrator\「开始」菜单\淘宝网今日特价区.ink c:\Documents and Settings\Administrator\「开始」菜单\程序\Intenet Exploer.ink c:\Documents and Settings\Administrator\桌面\Intenet Exploer.ink c:\Documents and Settings\Administrator\桌面\淘宝网今日特价区.ink c:\Documents and Settings\Administrator\桌面\游戏大全.ink c:\Documents and Settings\Administrator\桌面\西游·仙剑.ink c:\Program Files\Win32Games\2xi.ico c:\Program Files\Win32Games\2xi.vbs c:\Program Files\Win32Games\baidu.ico c:\Program Files\Win32Games\bingfeng.ico c:\Program Files\Win32Games\bookmarks.dat c:\Program Files\Win32Games\Config.ini c:\Program Files\Win32Games\dangdangwang.ico c:\Program Files\Win32Games\Gamlist.xml c:\Program Files\Win32Games\Internet.vbs c:\Program Files\Win32Games\jiuzhou.ico c:\Program Files\Win32Games\minigame.ico c:\Program Files\Win32Games\minigame.vbs c:\Program Files\Win32Games\taobao.ico c:\Program Files\Win32Games\taobao.vbs c:\Program Files\Win32Games\Thumbs.db c:\Program Files\Win32Games\Untitled - 2.ico c:\Program Files\Win32Games\URL.dll c:\Program Files\Win32Games\wingames.exe c:\Program Files\Win32Games\Xianjian.ico c:\Program Files\Win32Games\zhuoyue.ico c:\WINDOWS\system32\config\system c:\WINDOWS\system32\helpme.ink c:\WINDOWS\system32\helpme.vbs c:\WINDOWS\system32\syspowerues.dll c:\WINDOWS\system32\sysurl.dll |
流氓软件的注册表行为监视:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page 现: String: "http://www.6656.net/yx.html" 原: String: http://www.google.cn/ HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs\url1 现: String: "http://reg.weiguan8.com/" 原: String: http://www.google.cn/ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\@ 现: String: "C:\Program Files\Internet Explorer\iexplore.exe "http://www.6656.net/yx.html"" 原: Type: REG_EXPAND_SZ Length: 50 (0x32) bytes 000000: 22 43 3A 5C 50 72 6F 67 72 61 6D 20 46 69 6C 65 | "C:\Program File 000010: 73 5C 49 6E 74 65 72 6E 65 74 20 45 78 70 6C 6F | s\Internet Explo 000020: 72 65 72 5C 69 65 78 70 6C 6F 72 65 2E 65 78 65 | rer\iexplore.exe 000030: 22 00 | ". |
以上为此流氓软件通过篡改注册表来篡改用户浏览器的主页。
安天反病毒工程师建议,尽量去正规官方游戏网站玩游戏,安装具有网页防挂马功能的防护工具,不要打开搜索引擎中陌生的游戏或其他链接,如果一旦电脑中毒,使用锐甲可以有效查杀类似IE浏览器主页被恶意篡改等流氓行为,另外安天防线也可以查杀此流氓软件。
如果有问题需要详细解决说明,可以添加安天官方技术人员QQ:38118395
- 锐甲能快速彻底清除万种主页篡改病毒、流氓软件,修复IE、360浏览器、 Firefox、TT、遨游、世界之窗、彩虹浏览器被流氓网站修改的首页地址。
- 有效解决桌面图标删不掉,无法删除的假IE图标、假淘宝网快捷方式、 假淘宝图标、高清影视、网址导航等恶意图标和流氓图标。 清除各种顽固木马,杀毒软件杀不干净,清除不彻底的木马、 病毒残留文件,解决伪realshed恶意程序、Web嵌入广告程序变种、 休闲小游戏、伪QQ IE Helper广告程序、恶意广告、变身广告,保护你不在流氓病毒。 删除114综合搜索、pp55、等流氓网站。
经过努力,锐甲现在能够清理的主页篡改网址列表点此查看。
- 钓鱼网站1188.com
- CCTV钓鱼44939.com
- 淘宝钓鱼586la.com
- 福彩网钓鱼yy2000.net
- 木马网站haha123.com
- 淘宝钓鱼6ktaobao.com
- 木马网站ziping.net
- QQ钓鱼anyiba.com
