Win32.Troj.StartPage.ho

病毒别名：

处理时间：

威胁级别：★★

中文名称："WEB封锁"变种ho

病毒类型：木马

影响系统：Win9x/WinNT/Win2K/WinXP/Win2003

病毒行为:

编写工具:

Microsoft Visual C++ 6

传染条件:

发作条件:

系统修改:

A、在生成文件：

"%SystemRoot%hosts"

将原来的 "%Sytem%driversetchosts"也替换为上面生成的这个文件。

通过修改该文件，用户将无法访问文件中列出的这些网站

B、在注册表主键HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下添加键值：

"Default_Page_URL" = "http://cashsearch.biz/redir.php"

在注册表主键HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下修改如下键值：

"Local Page" = "C:WINNTSystem32lank.htm"

"Start Page" = "about:blank"

为

"Local Page" = "http://cashsearch.biz/redir.php"

"Start Page" = "http://cashsearch.biz/redir.php"

在注册表主键HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下修改如下键值：

"Default_Page_URL" = "http://www.microsoft.com/windows/ie_intl/cn/start/"

"Local Page" = hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,62,6c,61,6e,6b,2e,68,74,6d,00

"Start Page" = "http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"

为

"Default_Page_URL" = "http://cashsearch.biz/redir.php"

"Local Page" = "http://cashsearch.biz/redir.php"

"Start Page" = "http://cashsearch.biz/redir.php"

发作现象:

该病毒运行期间，会不断的重复进行16点所提到的修改，其现象为访问其生成的hosts文件中所列的文件的时候，地址栏会显示“连接到127.0.0.1”，然后就会被重定向到病毒所设置的页面。既试图访问这些站点的时候都会被带到病毒设置的站点去，既屏蔽了对这些站点的访问请求。

用户可以修改主页设置，但是一旦用户修改了，又马上被病毒改回来。

特别说明: