警惕"仙剑"木马篡改浏览器首页
辛苦从网上下载了一个软件,安装后没看到我想要的功能电脑里面却多了一堆病毒,电脑也出现一个让人不爽的情况,如最喜欢用的浏览器图标突然都不见了;桌面也多了了淘宝特卖之类的讨厌的图标,崩溃的是删除以后重启电脑又会出现;打开浏览器首页突然间变成了陌生网站,但是我根本就没有设置过这样的主页的。
接下来就让我们来认识下这个伪装成正常软件的病毒,经过分析发现这个病毒分工非常明确,每一个部分都负责不同的功能。
一 木马大头目quicklnk.exe
通过分析发现quicklnk.exe就像是带头大哥,它负责给“病毒喽罗”分配工作,如把Internet Exlporer.rar解压到桌面,伪装成Internet Exlporer图标;把淘宝·特卖.exe,西游·仙剑.exe两个文件拷贝到桌面,并让它看上去就是一个图标;把病毒Csrass.exe,setbrowser.exe 偷偷的启动起来。
二 木马喽罗Csrass.exe
Csrass.exe主要负责的是启动setbrowser.exe(删除常见浏览器图标);调用iemonitor.dll(监控浏览器启动并跳转了指定的导航网站)。
值得我们注意的是,这个猥琐的Csrass.exe利用了一个小技巧让病毒不断的复活:Csrass.exe会响应关机或Logff前的消息 WM_QUERYENDSESSION和WM_ENDSESSION,写入自启动项:C:Documents and SettingsAll Users「开始」菜单程序启动Wscript.vbs,这个文件包含有让Csrass.exe自动启动的代码,让人防不胜防。
三 木马喽罗setbrowser.exe
通过分析发现setbrowser.exe主要负责的是把桌面、快速启动栏包含“浏览器”,“傲游”,“谷歌”,“世界之窗”之类的快捷方式都删除掉。
四 木马喽罗Iemonitor.dll
通过分析Iemonitor.dll主要功能就是监视一些常见浏览器的进程启动,然后让他们访问预先设置的导航网站类似http://www.1busou.com。
五 QQ电脑管家修复处理
针对这个病毒我们可以开启QQ电脑管家的实时防护功能就可以拦截它入侵你的电脑,而已经中招的用户使用QQ电脑管家的木马查杀功能即可轻松处理。
