警惕“仙劍”木馬篡改瀏覽器首頁

sou6發表於2016-07-06

  辛苦從網上下載了一個軟體,安裝後沒看到我想要的功能電腦裡面卻多了一堆病毒,電腦也出現一個讓人不爽的情況,如最喜歡用的瀏覽器圖示突然都不見了;桌面也多了了淘寶特賣之類的討厭的圖示,崩潰的是刪除以後重啟電腦又會出現;開啟瀏覽器首頁突然間變成了陌生網站,但是我根本就沒有設定過這樣的主頁的。

  接下來就讓我們來認識下這個偽裝成正常軟體的病毒,經過分析發現這個病毒分工非常明確,每一個部分都負責不同的功能。

  一 木馬大頭目quicklnk.exe

  透過分析發現quicklnk.exe就像是帶頭大哥,它負責給“病毒嘍羅”分配工作,如把Internet Exlporer.rar解壓到桌面,偽裝成Internet Exlporer圖示;把淘寶·特賣.exe,西遊·仙劍.exe兩個檔案複製到桌面,並讓它看上去就是一個圖示;把病毒Csrass.exe,setbrowser.exe 偷偷的啟動起來。

警惕“仙劍”木馬篡改瀏覽器首頁 三聯教程

  二 木馬嘍羅Csrass.exe

  Csrass.exe主要負責的是啟動setbrowser.exe(刪除常見瀏覽器圖示);呼叫iemonitor.dll(監控瀏覽器啟動並跳轉了指定的導航網站)。

  值得我們注意的是,這個猥瑣的Csrass.exe利用了一個小技巧讓病毒不斷的復活:Csrass.exe會響應關機或Logff前的訊息 WM_QUERYENDSESSION和WM_ENDSESSION,寫入自啟動項:C:Documents and SettingsAll Users「開始」選單程式啟動Wscript.vbs,這個檔案包含有讓Csrass.exe自動啟動的程式碼,讓人防不勝防。

  三 木馬嘍羅setbrowser.exe

  透過分析發現setbrowser.exe主要負責的是把桌面、快速啟動欄包含“瀏覽器”,“傲遊”,“谷歌”,“世界之窗”之類的快捷方式都刪除掉。

02.jpg

  四 木馬嘍羅Iemonitor.dll

  透過分析Iemonitor.dll主要功能就是監視一些常見瀏覽器的程式啟動,然後讓他們訪問預先設定的導航網站類似http://www.1busou.com。

  五 QQ電腦管家修復處理

  針對這個病毒我們可以開啟QQ電腦管家的實時防護功能就可以攔截它入侵你的電腦,而已經中招的使用者使用QQ電腦管家的木馬查殺功能即可輕鬆處理。

03.jpg

相關文章