江湖医生45056-广告软件
诈骗型的木马又出现了,这次发现的诈骗木马拥有多个变种,会在用户电脑中安装插件,并把用户引导到一个假的在线杀毒网站。 病毒进入用户电脑后,在原始文件的当前目录下释放出自己的文件sbmdl.dll和sbsm.exe,接着就修改注册表,把文件添加到启动项中,达到开机自动运行之目的。习惯手动查杀的用户需注意,病毒在注册表中的文件名和其真实的名称并不相同,但路径是一致的。
当运行起来,病毒就把自己携带的一个IE插件擅自添加到用户的IE浏览器上,并篡改IE浏览器的默认页面为http://www.g**ei**ool.com/这个由病毒作者指定的地址。
经毒霸反病毒工程师检查,这个页面是个涉及诈骗的网站。只要用户被引导登录该网站,就会被跳转到另一个页面。跳转后的页面会对用户系统进行所谓的“在线查毒”。检查的结果千篇一律,都是说用户系统非常危险,必须购买专门的安全服务。
让用户无可奈何的是,在该网站提供的是否购买服务选项中,只能选“是”,如果用户选“否”,就会不断的弹出询问窗口。这是典型的流氓行为。
Win32.TrojDownloader.Zlob.45056
病毒名称(中文):江湖医生45056病毒别名:威胁级别:★★☆☆☆病毒类型:广告软件病毒长度:45056影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:
这是一个广告软件。该病毒运行后会在IE浏览器中擅自添加搜索插件,还会挟持IE的页面指向病毒作者指定的广告网站,强迫用户浏览。
1.生成文件:
C:\virus\sbmdl.dll
C:\virus\sbsm.exe
这个文件路径是可变的,它是病毒样本所在的当前目录
2.修改注册表,实现开机自动运行
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\explorer\run
start “C:\virus\XX_308.exe”这项的值可变,指向样本的位置
添加服务
HKEY_CLASSES_ROOT\CLSID\{7C109800-A5D5-438F-9640-18D17E168B88}\InprocServer32
@ “C:\virus\sbmdl.dll”
设置用户IE的搜索页面
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{DAED9266-8C28-4C1C-8B58-5C66EFF1D302}
URL “http://www.searchagate.com/index.php?b=1&t=0&q={searchTerms}”
挟持用户的IE的页面自动转到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{9034A523-D068-4BE8-A284-9DF278BE776E}
Exec “http://www.gateietool.com/redirect.php”
3.该病毒运行后系统启动后,explorer.exe关闭重启,部分打开的文件程序都将在下一次周期中
消失,IE的搜索页面被转向,添加了搜索插件,还会偷偷挟持IE的页面指向http://www.g**ei**ool.com。
sbmdl.dll sbsm.exe 木马 病毒 风险程序
专杀下载
