2010年5月7日，安天实验室接到很多用户上报的篡改并锁定IE首页为www.9999q.com的顽固样本，分析如下：

病毒名称：Trojan/Win32.Chifrax.gen

病毒类型：恶意插件

文件MD5：9bc60a88dc00f4a037f81e7e52e74233

公开范围：完全公开

危害等级：4

文件长度：1226046 bytes

感染系统：Windows98以上版本

病毒描述：

    该恶意插件是一个包裹文件，可使用WinRAR对其进行解压（如图1），解压后的文件如下（如图2）：

 

图1.
 

图2.

其中qq.ico、taobao.ico、Setup.exe（MiniIE浏览器安装包）都是正常文件，其余均是恶意篡改用户系统的文件。

包裹文件被运行后首先使用包裹内的Bat批处理文件删除桌面上、快速启动、开始菜单等部位的IE快捷方式（如图3）

如图3.为部分脚本代码

使用假的的URL快捷方式文件代替桌面、快速启动、开始菜单部位原有的IE浏览器快捷方式，并设置主页地址为http://www.9999q.com/，还会篡改注册表锁定其为IE浏览器主页，当用户启动IE浏览器的时候就会首先访问这个网址导航，还会在桌面、快速启动等部位生成“淘宝网今天特价区”、“MiniIE”等图标，在桌面上生成如下图标（如图5）,在快速启动部位生成的图标（如图6）

     

                       图5.                    

图6.

通过分析包裹文件内的3.vbs脚本文件发现还会将包裹内部的全部文件释放到C:\Program Files\winsoft5目录下（如图7），在C:\Program Files\Common Files目录下生成winie5.html（如图8）

图7.

 

图8.

搜索本机桌面上及开始菜单上的第三方浏览器快捷方式，使其转向预定义的URL

 

通过分析包裹内的2222.vbs脚本文件（如图10）发现会在IE收藏夹内生成相应的URL链接（如图11），收藏夹中的网站名称虽然是正常的，但是链接均转向到了图10中代码预定义中的链接

图10为部分VBS脚本代码.

图11.

解决方案：

1. 锐甲已经能够彻底查杀该恶意插件，使用锐甲云查杀修复被篡改为www.9999q.com的浏览器首页，同时将主页一键锁定为常用网页。锐甲免费下载地址：www.ruijia.cn。

2.  安天防线已经升级病毒库，可以有效查杀，免费下载地址：http://www.antiyfx.com/download.html。