TrojanDropper.Cpan

王朝百科·作者佚名  2010-01-29  
宽屏版  字体: |||超大  

TrojanDropper.Cpan

TrojanDropper.Cpan是修改IE默认页使其指向一些色情网站的木马,它经UPX压缩过,IE默认页被修改为 webcoolsearch.com

它的传播过程为:首先安装木马程序,然后创建隐藏文件 %System%Cpan.dll

注:%System%一般为

C:WindowsSystem (Windows 95/98/Me),

C:WinntSystem32 (Windows NT/2000), or

C:WindowsSystem32 (Windows XP).

接着调用Cpan.dll 并执行下列命令:rundll32.exe ctrlpan,Restore 。

当Cpan.dll 被装载后,会有如下动作:

1.创建 %Windir%hh.htt 文件

2.在注册表 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows 下添加 "AppInit_DLLs"="cpan.dll" 键值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer 下添加 "Control" = "<number>" 键值.

3.创建或重写 %System%DriversEtcHosts file 文件,文本内容为:

127.0.0.1 localhost

213.159.117.235 auto.search.msn.com

4.在注册表 HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerStyles 下添加 "User Stylesheet"="%Windir%hh.htt"

"Use My Stylesheet"=0x1 键值

HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 下添加 "Start Page"="http:/ /aifind.info/"

"Search Page"="http:/ /aifind.info/"

"Search Bar"="http:/ /aifind.info/" 键值

HKEY_CURRENT_USERSoftwareMicrosoftInternet Explorer 下添加 "SearchURL"="http:/ /aifind.info/" 键值

HKEY_LOCAL_MACHINESoftwareMicrosoftInternet ExplorerSearch 下添加 "SearchAssistant"="http:/ /aifind.info/" 键值

5.在收藏夹里创建大量色情网站的链接。

 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
© 2005- 王朝百科 版权所有