【導讀】這是一個使用[borland c++]編寫的病毒，

對流氓軟件“3448”的分析流氓清理

    這是一個使用[borland c++]編寫的病毒。系統(tǒng)被感染后，打開ie或者其他瀏覽器起始頁面被篡改為hxxp://wxw.3448.com/。

    病毒通過api hook自我保護。通過其他惡意程序或者自身下載升級下載并得到執(zhí)行，使用隨機文件名達到屏蔽文件名清除模式。

    病毒運行后有以下行為：

    一、病毒通過修改注冊表softwaremicrosoftwindowscurrentversion un達到開機自動運行的目的。

    病毒主要通過rundll32.exe加載。

    病毒還感染tencent qq的timproxy.dll文件的導入表，可以在用戶啟動qq的時候加載。

    加載后使用消息鉤子注入各進程，并根據進程名做不同的動作。

    主要有：

    1、hook進程api，自我保護。

    2、注入在qq.exe進程中的，僅做修改注冊表的動作。

    3、注入在explorer.exe進程中的病毒主要做一下動作。

    (1)主要破壞注冊表safeboot鍵，導致無法進入安全模式。

    (2)下載文件并通過文件類型更新，運行或者替換hosts文件，

電腦資料

    (3)感染tencent qq的timproxy.dll文件的導入表。

    二、通過rundll32.exe加載的病毒，會把自己復制到系統(tǒng)目錄(%systemdir%)和驅動目錄(%systemdir%drivers)。

    三、修改注冊表以下鍵值：

    注冊表鍵：softwaremicrosoftinternet explorermain

    數據項："start page"

    數據值為："http://www.3448.com"

    注冊表鍵：softwaremicrosoftinternet explorersearch

    數據項："customizesearch"

    數據值為："http://www.3448.com"

    注冊表鍵：softwaremicrosoftinternet explorersearch

    數據項："searchassistant"

    數據值為："http://www.3448.com"

    四、搜索進程名或者窗口文字包含以下字符串的進程，發(fā)現后關閉計算機。

    關 鍵 字：流氓清理

    相關文章：

    十一種常見流氓軟件完全卸載方法

    穩(wěn)打穩(wěn)扎 驅逐系統(tǒng)“流氓”文件

    惡意軟件花招 警惕非官方版本

    IT界成立小組提案懲治流氓軟件

    維權意識!奇虎開通惡意軟件舉報中心