Trojan/Win32.StartPage.dqu分析

病毒标签

病毒名称： Trojan/Win32.StartPage.dqu
病毒类型： 木马
文件 MD5： 3C2D6770B9BD459E86EBBA8766DC75DE
公开范围： 完全公开
危害等级： 3
文件长度： 43,520 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： 无

病毒描述

    该病毒为木马类，病毒运行后遍历进程，查找杀软相关进程并关闭；删除桌面上的IE浏览器图标，创建一个执行指定主页的网站，在系统目录下衍生病毒配置文件，修改host文件屏蔽部分网址导航网站并将其导航到指定页面；修改注册表添加启动项，修改ie浏览器的默认主页；连接指定的网站发送本地用户相关的信息。

行为分析-本地行为

1、文件运行后会释放以下文件
%Windir%\win.ini    294 字节
%System32%\drivers\etc\hosts    1,586 字节
%Documents and Settings%\[用户名]\桌面\Internet Explorer.url    116 字节
%Documents and Settings%\ring\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.url    116 字节
2、新增注册表
[KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
注册表值: "nmgdfd"
类型： REG_SZ
值: "病毒运行时的完整路径"
3、修改注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
新建键值: 字符串: "Start Page"="http://www.2298.cn"
原键值: 字符串: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
新建键值: 字符串: "Start Page"="http://www.2298.cn"
原键值: 字符串: "Start Page"="http://www.baidu.com/"
4、遍历当前进程，发下如下进程名称将其关闭：
RUNIEP.EXE、kregex.exe、kVXP.kxp、360tray.exe、rstray.exe、qqdoctor.exe、drRtp.exe
5、屏蔽的导航网站域名使其指向http://www.2298**.cn。列表如下：
60.12.111.*** 5566**.net
60.12.111.*** www.5566**.net
60.12.111.*** hao123**.cn
60.12.111.*** www.h*****.cn
cn3**.cn
www.cn3**.cn
1616**.net
www.1616**.net
3929**.com
www.3929**.com
6700**.com
www.6700**.com
go2000**.com
www.go2000**.com
2345**.com
www.2345**.com
1188**.com
www.1188**.com
9991**.com
www.9991**.com
265**.com
www.265**.com
9223**.com
www.9223**.com
henku123**.com
www.henku123**.com
haokan123**.com
www.haokan123**.com
1166**.com
www.1166**.com
114la**.com
www.114la**.com

行为分析-网络行为

连接网络等待控制
协议：TCP
域名或IP地址：www.ieroc**.cn[61.188.37.***:80]
发送信息格式如下：
/ok/install.asp?ver=090519&tgid=pentxt&address=AA-BB-CC-DD-EE-FF®k=1&flag=d29e1a5be40ab2f01632c3093190e8a9&frandom=0&alreg=0

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录

清除方案

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，请点击下载(http://www.antiyfx.com/download/atool.zip)。
(1) 删除病毒添加的注册表项，记录映像路径
[KEY_LO[KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]
注册表值: "nmgdfd"
类型： REG_SZ
值: "病毒运行时的完整路径"

(2) 使用安天防线工具中的“进程管理”关闭病毒进程
根据删除的注册表项的映像路径，或得病毒名称，结束同名进程。

(3) 删除病毒文件
%Windir%\win.ini
%System32%\drivers\etc\hosts
%Documents and Settings%\[用户名]\桌面\Internet Explorer.url
%Documents and Settings%\ring\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.url
根据删除的注册表项的映像路径，删除病毒主体文件

(4) 恢复病毒修改的注册表项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
新建键值: 字符串: "Start Page"="http://www.2298.cn"
原键值: 字符串: "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
新建键值: 字符串: "Start Page"="http://www.2298.cn"
原键值: 字符串: "Start Page"="http://www.baidu.com/"