Win32.Troj.StartPage.nk

病毒别名：Trojan.Win32.StartPage.nk[AVP]

处理时间：

威胁级别：★★

中文名称：

病毒类型：木马

影响系统：WinNT

病毒行为:

这是一个恶性的木马，他会将自己复制到系统目录，并将自己加载到注册表启动项。它修改感染机器的默认主页，偷取用户保存在计算机中的敏感信息；它到网上下载文件并运行；它还比较彻底的隐藏自己的进程，使用户很难察觉的病毒进程；它会尝试通过创建远程线程的方式向某些系统进程中注入病毒代码，可能导致系统进程的出错而使得系统崩溃。

1.将自身复制到系统目录%system%下，文件名字是随机产生的。

2.修改注册表。

添加注册键值:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"kalvsys"="%system32%<病毒文件名>"

添加一下主键和键值：

[HKEY_CURRENT_USERSoftwareLQ]

"AD"="0"

"TM"="10"

"AC"="0"

"U"="4"

"I"="{5E794E87-94C5-450A-8828-EFD8892CEEC3}"

"AT"="86400"

"AM"="6"

"TR"="126400"

"country"="China"

"city"="Lanzhou"

"state"="15"

"RX"="1"

"RX2.8"="1"

"RX2.9"="1"

"RX3.0"="1"

HKEY_LOCAL_MACHINESOFTWAREohbbackup

HKEY_LOCAL_MACHINESOFTWAREElitum

3.隐藏自己的进程，分别尝试通过创建远程线程的方式向进程svchost.exe，services.exe，explorer.exe，

iexplore.exe进程中注入病毒代码。在注入进程svchost.exe时出错导致进程svchost.exe出错而关闭，系统最终将崩溃。

4.修改用户主页以及IE设置，到指定网址下载文件并运行。