上周末抓到个比较邪门的病毒,这个病毒的主要破坏是修改劫持浏览器快捷方式,并且将快捷方式设置为组合热键alt+t调用 ,当用户按alt+t时,病毒就会打开默认浏览器为某导航站刷流量。
alt+t组合键一般较多地应用在网游中,很多热门网游按Alt+T会开启组队功能,部分游戏插件或外挂还会自动组队,那么在中招的电脑上,一会儿功夫就会发现很多浏览器窗口打开这个导航站。
以下是这个病毒的详细分析:
病毒现象:
1.病毒在浏览器主目录下复制一个浏览器程序的副本,重命名为 “原浏览器主文件名+X.exe"的程序文件。
2.创建了指向该文件的快捷方式(lnk劫持),放在用户桌面/开始菜单/快速启动栏
3.设置了快捷键为alt+t,结果,一按 alt+t 就弹出浏览器窗口访问某网址导航站,该站点的链接并不固定为某一个。
以下是该恶意软件劫持浏览器快捷方式的一个实例:
导航网址:http://www.skyhouse.com.cn/
1,Iexplore 快捷方式
目标:"C:\Program Files\Internet Explorer\iexploreX.exe" http://%77%77%77%2e%34%35%34%35%31%2e%6e%65%74/?45451
起始位置:"C:\Program Files\Internet Explorer\iexploreX.exe"
快捷键 Alt+T
2。遨游
目标:"C:\Program Files\Maxthon2\MaxthonX.exe"
起始位置:"C:\Program Files\Maxthon2\MaxthonX.exe"
快捷键:alt+T
3,其他主流浏览器,比如 360se ,世界之窗
alt+t组合键一般较多地应用在网游中,很多热门网游按Alt+T会开启组队功能,部分游戏插件或外挂还会自动组队,那么在中招的电脑上,一会儿功夫就会发现很多浏览器窗口打开这个导航站。
以下是这个病毒的详细分析:
病毒现象:
1.病毒在浏览器主目录下复制一个浏览器程序的副本,重命名为 “原浏览器主文件名+X.exe"的程序文件。
2.创建了指向该文件的快捷方式(lnk劫持),放在用户桌面/开始菜单/快速启动栏
3.设置了快捷键为alt+t,结果,一按 alt+t 就弹出浏览器窗口访问某网址导航站,该站点的链接并不固定为某一个。
以下是该恶意软件劫持浏览器快捷方式的一个实例:
导航网址:http://www.skyhouse.com.cn/
1,Iexplore 快捷方式
目标:"C:\Program Files\Internet Explorer\iexploreX.exe" http://%77%77%77%2e%34%35%34%35%31%2e%6e%65%74/?45451
起始位置:"C:\Program Files\Internet Explorer\iexploreX.exe"
快捷键 Alt+T
2。遨游
目标:"C:\Program Files\Maxthon2\MaxthonX.exe"
起始位置:"C:\Program Files\Maxthon2\MaxthonX.exe"
快捷键:alt+T
3,其他主流浏览器,比如 360se ,世界之窗
查询可知导航站www.skyhouse.com.cn的服务器位于美国,该服务器上同时还有另3个导航站域名备用。该导航站流量是从2009年12月25日前后流量突然飙升,估计就是当天投放了病毒方式的推广。
解决方案:
下载金山急救箱,安装后立即扫描,发现问题后一键修复即可解决。
近几个月来,干扰用户浏览的恶意软件猛增,根本原因在于某些网址导航站成为恶意软件传播的源头,想复制hao123的人太多。
下载金山急救箱,安装后立即扫描,发现问题后一键修复即可解决。
近几个月来,干扰用户浏览的恶意软件猛增,根本原因在于某些网址导航站成为恶意软件传播的源头,想复制hao123的人太多。
