【導讀】這是一個使用[borland c++]編寫的病毒,
對流氓軟件“3448”的分析流氓清理
。系統(tǒng)被感染后,打開ie或者其他瀏覽器起始頁面被篡改為hxxp://wxw.3448.com/。這是一個使用[borland c++]編寫的病毒。系統(tǒng)被感染后,打開ie或者其他瀏覽器起始頁面被篡改為hxxp://wxw.3448.com/。
病毒通過api hook自我保護。通過其他惡意程序或者自身下載升級下載并得到執(zhí)行,使用隨機文件名達到屏蔽文件名清除模式。
病毒運行后有以下行為:
一、病毒通過修改注冊表softwaremicrosoftwindowscurrentversion un達到開機自動運行的目的。
病毒主要通過rundll32.exe加載。
病毒還感染tencent qq的timproxy.dll文件的導入表,可以在用戶啟動qq的時候加載。
加載后使用消息鉤子注入各進程,并根據進程名做不同的動作。
主要有:
1、hook進程api,自我保護。
2、注入在qq.exe進程中的,僅做修改注冊表的動作。
3、注入在explorer.exe進程中的病毒主要做一下動作。
(1)主要破壞注冊表safeboot鍵,導致無法進入安全模式。
(2)下載文件并通過文件類型更新,運行或者替換hosts文件,
電腦資料
《對流氓軟件“3448”的分析流氓清理》(http://www.lotusphilosophies.com)。(3)感染tencent qq的timproxy.dll文件的導入表。
二、通過rundll32.exe加載的病毒,會把自己復制到系統(tǒng)目錄(%systemdir%)和驅動目錄(%systemdir%drivers)。
三、修改注冊表以下鍵值:
注冊表鍵:softwaremicrosoftinternet explorermain
數據項:"start page"
數據值為:"http://www.3448.com"
注冊表鍵:softwaremicrosoftinternet explorersearch
數據項:"customizesearch"
數據值為:"http://www.3448.com"
注冊表鍵:softwaremicrosoftinternet explorersearch
數據項:"searchassistant"
數據值為:"http://www.3448.com"
四、搜索進程名或者窗口文字包含以下字符串的進程,發(fā)現后關閉計算機。
關 鍵 字:流氓清理
相關文章:
十一種常見流氓軟件完全卸載方法
穩(wěn)打穩(wěn)扎 驅逐系統(tǒng)“流氓”文件
惡意軟件花招 警惕非官方版本
IT界成立小組提案懲治流氓軟件
維權意識!奇虎開通惡意軟件舉報中心