以文本方式查看主题

-  中文XML论坛 - 专业的XML技术讨论区  (http://bbs.xml.org.cn/index.asp)
--  『 安全理论 』  (http://bbs.xml.org.cn/list.asp?boardid=65)
----  秒杀恶意网址导航  (http://bbs.xml.org.cn/dispbbs.asp?boardid=65&rootid=&id=86335)


--  作者:金山网盾安全专题网
--  发布时间:8/19/2010 4:00:00 PM

--  秒杀恶意网址导航
首先先要问问,预计不少用户用的都是用雨林木风、深度这样的系统吧?

装完之后,是否发觉IE的首页被改成某些[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL]呢?如果你想要一个干净的IE,而非一打开IE就有一个早就设定好的[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL],那么您很应该看看这片文章了

·求助现象:1.前几天中了2345这个[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL],今天就变成5344了,每次打开IE浏览器都会跳到这个页面,怎么彻底删除?2.5344网址被当做主页一次后,一使用电脑的搜索程序就自动弹出来,怎么办啊?3.我的ie浏览器被恶意纂改为hxxp://www.2345.com/indexz.htm,原因是下载了一个游戏,我采取了删除ie快捷方式,并重起windows之后还是主页显示2345[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL]。又右键点击ie,选属性更改主页网址,但重新打开ie浏览器后还是无法更改主页,实在可恶...4.桌面上总是出现2345[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL],删了,过一会就又出现了!很烦人。请高手指点哈!5.my115网址导航怎么删除??它不是主页,就是一打开浏览器就跳出来,要怎么办?急!!求助!!如果点击“主页”键,出现的还是原来的主页....6.怎么删除3883网址导航?怎么也删不掉,当时删掉后一开机就又有了...

·演示案例:针对以上用户的不同情况的,这里我们找到了一个简单的样本作为演示,这个病毒样本虽然不是什么疑难样本,但作为今天的演示对象,能够充分说明时下流行的一些病毒行为,再看看[URL=http://labs.duba.net/zt/wangzhidaohang.html]金山网盾[/URL]是如何有效清除此类恶意程序。演示环境:操作系统: Microsoft Windows XP Professional 版本 2002 Service Pack 3计算机: Intel(R) pentinum(R) Dual CPU E2160 2.00GB内存文件MD5: 077db83ff84ab249dcba0823e4390800 运行样本后,大家一起来看看,这个病毒到底做了些什么主要操作导致会出现所谓的无法清除的现象呢?1.病毒增加/修改了文件扩展名[HKEY_CLASSES_ROOT\.79z] @="79zfile" 2.病毒增加/修改扩展名的调用方式[HKEY_CLASSES_ROOT\79zfile][HKEY_CLASSES_ROOT\79zfile\shell\open\command]@="C:\\Program Files\\Messenger\\Ntype.exe \"C:\\Program Files\\Messenger\\Messenger.kbb\" \"%1\""3.修改浏览器的启动参数 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\启动Internet Explorer(&H)\Command]@="C:\\Program Files\\Internet Explorer\\MUI\\iexplore.exe %1 hXXp://www.79473.cOm/"4.病毒增加文件 C:\Documents and Settings\All Users\桌面\Internet Explorer.79z
C:\Documents and Settings\xxx\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.79z
C:\Documents and Settings\xxx\「开始」菜单\程序\Internet Explorer.79z
C:\Program Files\lnkfiles
C:\\Program Files\\Internet Explorer\\MUI\\iexplore.exe
C:\Program Files\Common Files\System\ado\myie.exe
C:\Program Files\Messenger\Messenger.kbb
C:\Program Files\Messenger\Ntype.exe
病毒经过以上的修改,用户的桌面、快速启动和程序菜单的就会多出几个原本不存在的ie快捷方式(或者原有的ie快捷方式被修改了),大家可以看看这样修改出来的ie快捷方式用右键属性查看是看不出什么的(实际的扩展名是.79z)。

我们尝试下点击这些被修改过的ie快捷方式会有怎么样的效果呢?
按此在新窗口浏览图片

从图片上我们可以看到,ie浏览器打开了"http://www.79473.cOm/"的网址,这个网址很快的又跳转到另一个网址"http://www.zongfo.cn/l.htm?",看到[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL]出来了吧。这时候桌面又有新的图标生成了,是一个叫"淘宝特卖"的桌面图标,值得注意的是,每次点击,这些ie快捷方式都会被还原,这个病毒的清除方法也很简单,只要删除这些快捷方式就可以了,在使用工具修复的时候,如果漏掉这里边的其中一个ie快捷方式的话,就很有可能演变成无法清除的根源。当然,你也可能说只要不点这些ie快捷方式就不怕了,是的,这个病毒只要你不点击这些ie快捷方式的话是不会触发的,而且病毒也没有开机启动什么的行为,它就是利用了一点点的社会工程学原理,大部分人还是爱点快捷方式的,这已经成了习惯,不是吗?


[B]金山网盾清除步骤:[/B]
打开金山网盾,并点击的【一键修复】->使用【全面修复】->查出异常后,点击【立即处理】,即可轻松处理此类修改快捷方式病毒:
按此在新窗口浏览图片

立即下载[B][URL=http://labs.duba.net/zt/wangzhidaohang.html]金山网盾[/URL][/B]进行修复操作吧!!!
[B]恶意[URL=http://labs.duba.net/zt/wangzhidaohang.html]网址导航[/URL][/B]乖乖的爬出你的系统~~~



W 3 C h i n a ( since 2003 ) 旗 下 站 点
苏ICP备05006046号《全国人大常委会关于维护互联网安全的决定》《计算机信息网络国际联网安全保护管理办法》
2,826.172ms