网络信息安全是一个博大精深的技术体系,安天将自己的注意力专注于主要矛盾,即计算机网络病毒问题。
    根据有关机构统计,全球超过80%的安全事件均与病毒有关,网络病毒是信息社会面临的主要安全挑战之一,因此,安天人将“天下无毒”作为自己追求的安全境界。
    安天将网络安全工作者的宏观视野与反病毒工程师的成熟细腻有机结合。将反病毒技术与网络监控技术、计算机犯罪取证技术、安全评估技术等进行了有机的结合,形成了自身的产品内涵。
  当前位置:首页 - 安全响应中心 -> 病毒分析报告

Trojan/Win32.StartPage.cjh[Clicker]分析
出处:安天实验室 时间:2009年12月30日
 

  • 病毒标签
 

病毒名称: Trojan/Win32.StartPage.cjh[Clicker]
病毒类型: 木马下载器
文件 MD5: 99F07A9F65C02CA475C5A9FE80A82265
公开范围: 完全公开
危害等级: 4
文件长度: 88,576 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX

  • 病毒描述
 

    该恶意代码文件为恶意广告类木马,病毒运行后创建注册表项,弹出消息框(检测到您的系统设置与播放器有冲突!请点击桌面高清电影开始激情体验)的提示,调用iexplore.exe弹出一个广告连接网址,遍历C:\Documents and Settings\a\「开始」菜单\程序目录下是否存在*.url、*.lnk文件,如有则删除,创建一个Internet Explorer快捷方式到该目录下修改目标位置为:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.74***.com/?zzp使其打开时弹出指定的广告网址,创建多个*.url、*.lnk文件快捷方式到桌面,添加多个广告网址到IE浏览器的收藏夹内,修改注册表隐藏桌面上的Internet Explorer浏览器的右键菜单项,修改360安全浏览器的配置文件改为病毒指定的广告网址,试图创建修改%Documents and Settings%\a\Application Data\文件夹内的火狐浏览器、TT浏览器的配置文件的主页改为病毒指定的广告地址,创建多个.ico文件图标到%System32%目录下来设置病毒在桌面创建的.lnk文件的图标,修改注册表项创建3个.lnk文件到桌面使其无法正常删除。

  • 行为分析-本地行为
 

1、弹出消息框(检测到您的系统设置与播放器有冲突!请点击桌面高清电影开始激情体验)的提示,调用iexplore.exe弹出一个广告连接网址:http://tc.***.cn,遍历C:\Documents and Settings\a\「开始」菜单\程序目录下是否存在*.url、*.lnk文件,如有则删除

2、文件运行后会释放以下文件
%System32%\was3v.exe (随机病毒名)
%Documents and Settings%\当前所在用户\Local Settings\Temp\~32964.exe (随机病毒名)

3、修改、添加注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command\@
新: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe http://www.74***.com/?zzp"
旧: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe".
描述:修改iexplore.exe使其打开后自动弹出广告网址

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\RunOnceComplete
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\RunOnceHasShown
值: DWORD: 1 (0x1)
描述:去掉IE7启动页http://run****.msn.com/runonce3.aspx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.lnk\OpenWithP
rogids\lnkfile
值: <值未设置>
描述:修改快捷方式lnk打开方式

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
描述:添加注册表隐藏桌面上的IE图标

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}
\InProcServer32\@
值: 字符串: "%SystemRoot%\system32\shdocvw.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}
\shell\Open\@
值: 字符串: "打开主页(&H)"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}
\shell\Open\Command\@
值: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe h%t%t%p%:%/%/%1w%4w%8w%.%17%
14%24%24%93%.%1c%2o%5m%/%?%3z%3z%3p"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}
\shell\Open\Command\@
值: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe h%t%t%p%:%/%/%1w%4w%8w%.%17%
14%24%24%93%.%1c%2o%5m%/%?%3z%3z%3p"
描述:创建注册表设置文件右键打开菜单项

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}\ShellFolder\HideFolderVerbs
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}\ShellFolder\HideOnDesktopPerUser
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}\ShellFolder\WantsParseDisplayName
值: <值未设置>

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2857FA48-876F-43a8-816F-7DD376B61039}\ShellFolder\HideFolderVerbs
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2857FA48-876F-43a8-816F-7DD376B61039}\ShellFolder\HideOnDesktopPerUser
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2857FA48-876F-43a8-816F-7DD376B61039}\ShellFolder\WantsParseDisplayName
值: <值未设置>

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2857FA48-876F-43a8-816F-7DD376B61039}\shell\Open\Command\@
值: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe h%t%t%p%:%/%/%6w%6w%6w%.%6n%63%65%.%6c%6n%:%28%70%58%40%/"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2857FA48-876F-43a8-816F-7DD376B61039}\shell\Open\@
值: 字符串: "打开(&H)"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\shell\Open\Command\@
值: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe h%t%t%p%:%/%/%6t.%6m%63%62%.%6c%6n%/"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\shell\Open\@
值: 字符串: "打开(&H)"
描述:创建注册表设置文件右键打开菜单项

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\InProcServer32\@
值: 字符串: "%SystemRoot%\system32\shdocvw.dll"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\ShellFolder\HideFolderVerbs
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\ShellFolder\HideOnDesktopPerUser
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\ShellFolder\WantsParseDisplayName
值: <值未设置>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{13572CC5-79CB-4eff-AFB1-556728C24CC4}\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{2857FA48-876F-43a8-816F-7DD376B61039}\
描述:创建注桌面3个CLSID值图标

4、创建一个Internet Explorer快捷方式到该目录下修改目标位置为:"C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.74***.com/?zzp使其打开时弹出指定的广告网址,创建多个*.url、*.lnk文件快捷方式到桌面,添加多个广告网址到IE浏览器的收藏夹内,修改注册表隐藏桌面上的Internet Explorer浏览器的右键菜单项,修改360安全浏览器的配置文件改为病毒指定的广告网址,试图创建修改%Documents and Settings%\a\Application Data\文件夹内的火狐浏览器、TT浏览器的配置文件的主页改为病毒指定的广告地址。

  • 行为分析-网络行为
 

协议:TCP
端口:80
域名:http://tc.***.cn
描述:运行后自动弹出网页连接以上地址

注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
         %Windir%             WINDODWS所在目录
         %DriveLetter%          逻辑驱动器根目录
         %ProgramFiles%          系统程序默认安装目录
         %HomeDrive%           当前启动的系统的所在分区
         %Documents and Settings%    当前用户文档根目录
         %Temp%             \Documents and Settings\当前用户\Local Settings\Temp
         %System32%           系统的 System32文件夹

         Windows2000/NT中默认的安装路径是C:\Winnt\System32
         windows95/98/me中默认的安装路径是%WINDOWS%\System
         windowsXP中默认的安装路径是%system32%

  • 清除方案
 

1、使用安天防线可彻底清除此病毒(推荐),请点击下载(http://www.antiyfx.com)
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
推荐使用ATool管理工具,请点击下载(http://www.antiyfx.com/download/atool.zip)

(1)进入安全模式下

(2)强行删除病毒衍生的文件
%System32%\viebu4icon.ico
%System32%\diricon.ico
%System32%\mensdyicon.ico
%Documents and Settings%\All Users\桌面\Internet Explorer.lnk
%Documents and Settings%\All Users\桌面\创业投资好项目.url
%Documents and Settings%\All Users\「开始」菜单\程序\Internet Explorer.lnk
%Documents and Settings%\All Users\「开始」菜单\Internet Explorer.lnk
%Documents and Settings%\当前所在用户\「开始」菜单\程序\Internet Explorer.lnk
%Documents and Settings%\当前所在用户\「开始」菜单\Internet Explorer.lnk
%Documents and Settings%\当前所在用户\Favorites\网址大全.url
%Documents and Settings%\当前所在用户\Favorites\精彩小游戏.url
%Documents and Settings%\当前所在用户\Favorites\不死高清电影.url

(3)删除病毒添加的注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
\shell\OpenHomePage\Command\@
新: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe http://www.74443.com/?zzp"
旧: 字符串: "C:\Program Files\Internet Explorer\iexplore.exe".
恢复病毒修改的注册表项

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\RunOnceComplete
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\RunOnceHasShown
值: DWORD: 1 (0x1)
删除以上添加的注册表项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
删除ClassicStartMenu键值下的{871C5380-42A0-1069-A2EA-08002B30309D}键

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{13572CC5-79CB-4eff-AFB1-556728C24CC4}
删除CLSID键值下的{13572CC5-79CB-4eff-AFB1-556728C24CC4}、{2857FA48-876F-43a8-816F-7DD376B61039}、{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}键

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}\
删除NameSpace键下的
{2857FA48-876F-43a8-816F-7DD376B61039}、{13572CC5-79CB-4eff-AFB1-556728C24CC4}、{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}键

修复IE桌面图标将以下代码保存为.reg文件双击导入注册表即可:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}]
"InfoTip"=hex(2):40,00,73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,\
6c,00,6c,00,2c,00,2d,00,38,00,38,00,31,00,00,00
"LocalizedString"=hex(2):40,00,73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,\
64,00,6c,00,6c,00,2c,00,2d,00,38,00,38,00,30,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\DefaultIcon]
@=hex(2):73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,6c,00,6c,00,2c,\
00,2d,00,31,00,39,00,30,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,\
64,00,6f,00,63,00,76,00,77,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell]
@="OpenHomePage"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage]
@="打开主页(&H)"
"MUIVerb"="@shdoclc.dll,-10241"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\ShellFolder]
"Attributes"=dword:00000024
"HideFolderVerbs"=""
"WantsParseDisplayName"=""
"HideOnDesktopPerUser"=""

注意:(病毒添加的注册表项、有权限设置如果提示无法删除请鼠标右键单击权限将Everyone用户添加进去给予完全控制打钩即可删除)