(2010-06-10 14:13)
2010年6月9日,安天实验室接到用户上报一个篡改快速启动栏以及开始菜单内的IE浏览器主页并锁定IE首页为www.4555.net或www.2458.cn的顽固样本,当此样本运行后会弹出一个http://www.4555.net/?in的页面(如图1),在桌面上创建虚假的IE浏览器快捷方式、强制安装网易有道桌面词典、咪咕音乐、好压软件(如图2、3、4.),具体分析如下:
(2010-06-01 14:02)
2010年5月31日,安天实验室接到用户上报一个篡改快速启动栏以及开始菜单内的IE浏览器主页并锁定IE首页为www.68262.com或www.46.com的顽固样本,当此样本运行后会弹出一个wwv.cz3.net/index14.htm的页面,具体分析如下:
样本描述:
该恶意插件在用户机器上运行后会在桌面上释放2个图标,一个是模仿IE浏览器的虚假IE图标可能指向46、68262、CZ3等任意网址导航页面,另一个是淘宝网的图标,如图1:
图
1.
图
2.
安天实验室最近接到大量用户上报的流氓网站,黑客流氓手段层出不穷,导致用户面对各种五花八门的流氓行为遗留给系统的让人抓狂的迹象时束手无策。浏览器首页被修改,桌面假IE、假淘宝、在线电影播放图标删不掉,浏览器主题被改,修改添加系统自启动项等等等等就在一瞬间侵袭了你的系统环境。上网,找修复工具,请人帮忙,找对大夫算是万幸,反之生病乱投医乱用药,不但没使症状减轻,反而浪费了时间,到头来系统里安装了一堆不治病的工具,甚者再次误入黑客骗子的恶意网站,导致二次杯具……
为了应对这一情况,安天实验室紧急开发出“IE浏览器修复工具”,帮助用户第一时间将IE首页修改回来。对于1155.com,50283.com,PP2345.com,7322.com,N999.com,6dudu.com,9999q.com,6656.net等等流氓网站,如果用其他安全工具还是没有彻底查杀掉,可以通过下面“三枪”来实现彻底完美清除:
第一枪:用“IE浏览器修复工具”先改回来你原来的浏览器主页,官方下载地址:www.ruijia.cn/download/i
(2010-05-24 15:12)
安天实验室接到用户提交木马样本,该修改主页的木马运行后,将自身复制到IE目录下,并衍生病毒文件,在磁盘根目录下创建快捷方式指向病毒体。当用户打开IE后,首先进入到用户原首页地址,之后病毒马上将地址跳转到导航地址:http://www.qq5.com/index8.htm。病毒将衍生文件注册为BHO,使用户打开IE时自动加载病毒文件。
一、行为分析:
1、衍生文件:
c:\1.lnk ;指向snss.exe
c:\Program Files\snss.exe
c:\2.lnk ;指向IE目录下的病毒文件
c:\Program Files\Internet Explorer\原文件名
c:\WINDOWS\system32\Thunder.dll
2、修改注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\C
(2010-05-24 11:17)
1155,50283网址导航恶意插件描述:
该恶意插件是一个包裹文件,该恶意插件在用户计算机上运行以后会自动删除包裹文件体,并在桌面创建快捷方式(如图1)
流氓网站又添新花招,在电脑桌面创建假淘宝、假IE、免费在线电影图标,无法删除,点击打开后会直接
链接至流氓网址导航。桌面环境被污染,系统信息被修改,整个电脑系统被弄得乌烟瘴气,充斥着黑色利益的
恶心猖狂。
安天安全中心收到很多热心用户举报,现对最近非常流行的一修改浏览器首页并在桌面释放大量垃圾图标
Trojan/Win32.Agent.dxmg[Dropper]:
该恶意代码文件为恶意广告类木马,病毒运行后修改注册表项隐藏桌面IE浏览器,并添加多处注册表项
新建IE快捷方式,使打开IE
指定连接到广告网站,创建多个病毒VBS脚本文件到系统
(2010-05-12 13:35)
近期安天实验室接到用户上报篡改并锁定IE首页为http://www.6656.net/yx.html的顽固样本,分析发现除过常见的锁定IE首页为流氓网站、桌面添加删除不了的假IE、假淘宝、在线游戏等快捷图标以外,流氓网站又出新花招,暗自在浏览器收藏夹、系统目录、开始菜单添加假链接,来诱骗用户点击进入恶意流氓网站,从而招致感染恶意病毒木马之祸。
用户反映,他在一个游戏下载网站下载的破解版的游戏,安装后发现浏览器首页被改成
http://www.6656.net/yx.html,同时桌
(2010-05-07 16:48)
2010年5月7日,安天实验室接到很多用户上报的篡改并锁定IE首页为www.9999q.com的顽固样本,分析如下:
病毒名称:Trojan/Win32.Chifrax.gen
病毒类型:恶意插件
文件MD5:9bc60a88dc
(2010-04-29 18:04)
2010年4月29日,安天实验室接到用户上报,一个采用Borland Delphi
7写的“西游冰封”小游戏运行后,浏览器主页被篡改为www.6dudu.com网址导航,无法通过正常渠道还原主页。经分析发现此“西游冰封”小游戏采用了流氓软件惯用的非法手段去劫持浏览器主页,以此来增加被绑定网站的流量。
如上图:打开浏览器主页变成http://www.6dudu.com/网址导航
行为分析:
描述:第一次运行“西游冰封”小游戏后,会自动弹出如下界面;
|
一、“魔兽窃贼”(Trojan/Win32.Vilsel.xbd[Downloader])
威胁级别:★★★★
病毒运行之后动态获取多个API函数,在临时目录下释放一个*.tmp临时文件,调用regsvr32.exe系统文件将病毒释放在临时目录下的文件注册为Windows链接库和ActiveX控件并加载已释放的病毒文件,病毒运行完毕之后删除自身文件,被加载的病毒文件执行命令后拷贝%System32%目录下的msvcp50.dll为msvcp60.dll文件,并对该进程进行提权操作,判断自身进程是否是regsvr32与svchost.exe进程,拷贝自身到%System32%目录下的并命名为:rpcss.dll~951531,添加注册表启动项,将%System32%目录下的rpcss.dll命名为rpcss.dll1248234,再将病毒DLL文件命名成rpcss.dll以达到伪装成系统文件的目的,开启一个SVCHOST.EXE进程将病毒DLL注入到该进程中,被感染的用户会被执行下载恶意病毒文件、控制计算机截取敏感账号密码等操作。
二、“霸族
|
|
加载中…
