Win32.Hack.StartPage.ho

病毒别名：

处理时间：

威胁级别：★★

中文名称：时间机器

病毒类型：黑客程序

影响系统：Windows 2000, Windows 95, Windows 98, Windows Me,

病毒行为:

编写工具:

asm编写,upx压缩

传染条件:

伪装成流行软件的升级版本来诱使用户下载运行.

发作条件:

运行后该木马会阻止用户windows和一些反病毒软件的病毒库的更新,以此来逃避检测.

系统修改:

1,将自己注册成系统服务,这样在用户注销后也可次再次运行.

2,向注册表添加

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"reg32" = "%windir%

eg32.exe"

3,通过修改注册表:

HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerMain

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain

"Start Page" = "http:/ /allsearcher.info/"

"Local Page" = "http:/ /allsearcher.info/"

"Default_Page_URL" = "http:/ /allsearcher.info/"

来达到修改浏览器主页的目的

4,删除下列注册表键值:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

Key2

ControlPanel

5,覆盖下列文件:

%Windows%hosts

c:system32driversetchosts

6,关闭标题为System - Microsoft Internet Explorer的窗口

7,关闭以下正在运行的进程:

ATUPDATER.EXE

AUPDATE.EXE

AUTODOWN.EXE

AUTOTRACE.EXE

AUTOUPDATE.EXE

AVPUPD.EXE

AVWUPD32.EXE

AVXQUAR.EXE

CFIAUDIT.EXE

DRWEBUPW.EXE

ICSSUPPNT.EXE

ICSUPP95.EXE

loadclean.exe

loader.exe

LUALL.EXE

MCUPDATE.EXE

NUPGRADE.EXE

runddl.exe

serve.exe

UPDATE.EXE

发作现象:

运行该木马后,浏览器主页将被修改为"http:/ /allsearcher.info/",同时用户不能登陆一些安全类的网站.

特别说明: