Trojan/Startpage.am

Trojan/Startpage.am

Trojan/Startpage.am是一个记录键盘操作的木马程序，包含在一个垃圾邮件的附件中且可以伴随一个代理服务程序。

木马运行后，有如下操作：

1.在Windows的安装目录下生成如下文件：

MSTO32.DLL

SVCHOST.EXE

SYSINI.INI（该文件不包含有害代码）

2.在系统目录下生成SVCHOSTC.EXE和SVCHOSTS.EXE

3.在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下添加

"Online Service"="%Windir%svchost.exe..."键值。

4.将注册表HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain中的 Start Page 键设置为下列网站之一（即修改IE浏览器的初始页）：

strawberries.teenfestival.com?alla.html

realgirltgp.virgin-paradize.com/warn.html

strawberries.teensfestival.com/search2.html

5.开放10002端口。

6.设法从下列网站下载木马的升级文件：

82.196.73.2

beta.softdevelops.com

www.gggggiiiiiiiiiiiiiiiiiiiiiiggggjjjjjjjjjjjj.com

www.gggggmmmmmmggggjjjjjjjjjjjj.com

www.ggggggggkkkkkkkgjjjjjjjjjjjj.com

如果成功的话，它会将Surte.exe文件保存到系统目录下并执行。

7.木马可以记录键盘操作，然后将盗取来的信息通过SMTP发送给攻击者，也可以将其发送到固定的FTP网站。