关注恶意软件:
- 名称:NSIS木马释放器(Trojan-Dropper.Win32.NSIS.so)
- 大小:64.0 KB
- 是否加壳:否
- 影响的平台:WIN9X/ME/NT/2000/XP/2003/Vista/Win7
创建文件:
C:\Program Files\Common Files\System\ado\myie.vbs
C:\Program Files\Messenger\Messenger.kbb
C:\Program Files\Messenger\taodwq.ico
C:\Program Files\Internet Explorer\MUI\iexplore.exe
C:\Program Files\Messenger\Ntype.exe
C:\Program Files\lnkfiles\15.txt
C:\Program Files\lnkfiles\17.txt
C:\Documents and Settings\Administrator\Favorites\成功网上赚钱 网络创业方法指导.url
C:\Documents and Settings\Administrator\Favorites\最新黑马股票推荐,内幕揭秘.url
C:\Documents and Settings\Administrator\Favorites\美女视频聊天免费试看.url
C:\Documents and Settings\Administrator\Favorites\效果好的绿色减肥产品,真管用.url
C:\Documents and Settings\Administrator\Favorites\淘宝网皇冠店大全,品质保证.url
C:\Documents and Settings\All Users\桌面\Internet Explorer.79z
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick
Launch\启动 Internet Explorer 浏览器.79z
C:\Documents and Settings\Administrator\「开始」菜单\程序\Internet Explorer.79z
修改注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\@C:\WINDOWS\system32\SHELL32.dll,-30520 = "搜索结果"
HKEY_CLASSES_ROOT\.79z\(Default) = "79zfile"
HKEY_CLASSES_ROOT\79zfile\(Default) = "快捷方式"
HKEY_CLASSES_ROOT\79zfile\CLSID\(Default) = "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"
HKEY_CLASSES_ROOT\79zfile\shell\(Default) = "open"
HKEY_CLASSES_ROOT\79zfile\shell\open\CLSID = "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"
HKEY_CLASSES_ROOT\79zfile\shell\open\command\(Default) = "C:\Program
Files\Messenger\Ntype.exe "C:\Program Files\Messenger\Messenger.kbb" "%1""
HKEY_CLASSES_ROOT\79zfile\shellex\IconHandler\(Default) = "{FBF23B40-E3F0-101B-8488-00AA003E56F8}"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\(Default) = "Internet Explorer"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\DefaultIcon\(Default) ="C:\Program Files\Internet Explorer\iexplore.exe"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\(Default) = "启动Internet Explorer(&H)"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\启动Internet Explorer(&H)\(Default) = ""
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\启动Internet Explorer
(&H)\Command\(Default) = "C:\Program Files\Internet Explorer\MUI\iexplore.exe %1
http://www.79X73.com/"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\属性(&R)
\Command\(Default) = "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\(Default) ="HideOnDesktopPerUser"
HKEY_CLASSES_ROOT\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\Attributes = 0x0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoInternetIcon = 0x1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 0x2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden = 0x0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden =0x0
行为描述:
该恶意程为NSIS自解压可执行文件,但是却采用压缩包图标,伪装成普通的压缩文件,迷惑用户点击运行。运行后,会释放Messenger.kbb和myie.vbs恶意脚本。并修改注册表不显示隐藏文件、添加文件关联、隐藏桌面浏览器快捷方式。
该恶意程序还会在开始菜单、快速启动栏、桌面创建扩展名为“.79z”文件,由于该恶意程序对扩展名为“.79z”的文件建立了文件关联指向Messenger.kbb,所以每次运行这些文件时会再次执行恶意脚本并访问http://www.79X73.com/和http://wWw.tiaO8X0.infO/。
恶意脚本myie.vbs卡巴斯基检测到Trojan.VBS.StartPage.fq。
恶意脚本Messenger.kbb卡巴斯基检测到Trojan.JS.StartPage.ci。
专家预防建议:
- 1.建立良好的安全习惯,不打开可疑邮件和可疑网站。
- 2.不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
- 3.使用移动介质时最好使用鼠标右键打开使用,必要时先要进行扫描。
- 4.现在有很多利用系统漏洞传播的病毒,所以给系统打全补丁也很关键。
- 5.安装专业的防毒软件升级到最新版本,并开启实时监控功能。
- 6.为本机管理员账号设置较为复杂的密码,预防病毒通过密码猜测进行传播,最好是数字与字母组合的密码。
- 7.不要从不可靠的渠道下载软件,因为这些软件很可能是带有病毒的。
|