文档介绍:浏览器首页被修改为/?in或?桌面上多了虚假的IE浏览器快捷方式、强制安装网易有道桌面词典、咪咕音乐、好压软件,该如何删除?安天病毒专家帮你分析解答。
        2010年6月9日,安天实验室接到用户上报一个篡改快速启动栏以及开始菜单内的IE浏览器主页并锁定IE首
,当此样本运行后会弹出一个/?in的页面(如
图1),在桌面上创建虚假的IE浏览器快捷方式、强制安装网易有道桌面词典、咪咕音乐、好压软件(如图2、
3、4.),具体分析如下:
图1.
图2.
图3.
图4.
样本描述:
该流氓软件样本文件为一个包裹,可用7z直接打开或解包(如图5.),此包裹文件内多为BAT批处理文件和
VBS脚本文件,此包裹文件运行后会批量运行包裹文件内部的批处理和VBS脚本文件,脚本行为如下:
(如图6.)
拷贝自身到C:\Program Files\WinWare目录下(如图7.)
写入多个计划任务(如图8.)
图5.
图6.
图7.
图8.
 
 
本地文件行为:(释放文件)
c:\Documents and Settings\Administrator\Recent\
c:\Documents and Settings\Administrator\Recent\
c:\Documents and Settings\Administrator\桌面\
c:\Documents and Settings\All Users\「开始」菜单\程序\启动\
c:\Documents and Settings\Administrator\Application Data\Microsoft\
Explorer\Quick Launch\
c:\Program Files\Windows\
c:\Program Files\Windows\
c:\Program Files\WinWare\
c:\Program Files\WinWare\
c:\Program Files\WinWare\
c:\Program Files\WinWare\
c:\Program Files\WinWare\36O安全刘览器?
c:\Program Files\WinWare\36O安全刘览器?
c:\Program Files\WinWare\
c:\Program Files\WinWare\
c:\Program Files\WinWare\
c:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX1\
c:\Documents and Settings\Administrator\Local Settings\Temp\
c:\Documents and