- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
病毒介绍:
病毒名称:木马点击器病毒(Trojan.Win32.StartPage.zdf)
病毒类型:木马
影响的平台:WIN9X/ME/NT/2000/XP/2003
病毒表现:
该恶意代码文件为木马类,病毒运行后创建互斥量MutexName = "Q-$-EXE",以防止病毒多次运行产生冲突,创建一个线程通过检查注册表来确认是否安装QQ、迅雷等工具,并获取相应安装路径。遍历QQ的BIN目录查找TaskTray.dll文件,获取该文件的文件大小并比较文件大小是否是300000,如不是则删除%HOMEDRIVE%下的Q999.dll文件,并创建一个已经写入35328字节数据的新Q999.dll文件到%HOMEDRIVE%下,且将文件属性设置为隐藏。将BIN文件夹下的TaskTray.dll命名为Shareds.dll,将%HOMEDRIVE%下的Q999.dll病毒文件移动到BIN文件夹下命名为TaskTray.dll文件,动态获取大量API函数遍历进程查找QQ.EXE找到之后强行结束其进程。同样利用以上注册表查询迅雷的安装路径并获取迅雷目录下的mp.dll的文件大小,查找Shareds.dll文件并以该文件作为标志来判断是否已经被修改过,创建一个已经写入35328字节数据的新xlnnn.dll文件到%HOMEDRIVE%下,同样将xlnnn.dll替换成迅雷目录下的mp.dll,将mp.dll改名为Shareds.dll,再次遍历进程查找Thunder.exe找到之后结束该进程。在%HOMEDRIVE%下创建一个nyvdvm.lnk快捷方式文件、写入693字节数据,设置注册表将桌面的IE浏览器隐藏,同时将%HOMEDRIVE%下的nyvdvm.lnk快捷方式文件移动到桌面命名为Internet Explorer.lnk,调用Netbios函数获取本机MAC地址,隐藏开启iexplore.exe进程连接网络发送安装统计信息,病毒对QQ和迅雷的文件替换主要目的是监视桌面上病毒创建的Internet Explorer.lnk,如发现被删除则会立即创建,这样达到无法正常删除的目的,当用户打开桌面IE浏览器时,将会跳转到病毒指定的广告网址。
专家建议:
1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
6.为本机管理员帐号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
产品与解决方案
