Win32.Troj.StartPage.ho
病毒别名:
处理时间:
威胁级别:★★
中文名称:"WEB封锁"变种ho
病毒类型:木马
影响系统:Win9x/WinNT/Win2K/WinXP/Win2003
病毒行为:
编写工具:
Microsoft Visual C++ 6
传染条件:
发作条件:
系统修改:
A、在生成文件:
"%SystemRoot%hosts"
将原来的 "%Sytem%driversetchosts"也替换为上面生成的这个文件。
通过修改该文件,用户将无法访问文件中列出的这些网站
B、在注册表主键HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下添加键值:
"Default_Page_URL" = "http://cashsearch.biz/redir.php"
在注册表主键HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下修改如下键值:
"Local Page" = "C:WINNTSystem32lank.htm"
"Start Page" = "about:blank"
为
"Local Page" = "http://cashsearch.biz/redir.php"
"Start Page" = "http://cashsearch.biz/redir.php"
在注册表主键HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain下修改如下键值:
"Default_Page_URL" = "http://www.microsoft.com/windows/ie_intl/cn/start/"
"Local Page" = hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,32,5c,62,6c,61,6e,6b,2e,68,74,6d,00
"Start Page" = "http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
为
"Default_Page_URL" = "http://cashsearch.biz/redir.php"
"Local Page" = "http://cashsearch.biz/redir.php"
"Start Page" = "http://cashsearch.biz/redir.php"
发作现象:
该病毒运行期间,会不断的重复进行16点所提到的修改,其现象为访问其生成的hosts文件中所列的文件的时候,地址栏会显示“连接到127.0.0.1”,然后就会被重定向到病毒所设置的页面。既试图访问这些站点的时候都会被带到病毒设置的站点去,既屏蔽了对这些站点的访问请求。
用户可以修改主页设置,但是一旦用户修改了,又马上被病毒改回来。
特别说明: