名称 Win-Spyware/StartPage.nk
危险程度 A
种类 其它 类型 安全漏洞等
症状
更改网络浏览器的起始页,从特定主机下载工具栏并安装. 在 Windows 目录下生成以
elite 开头的文件,这些病毒有隐藏功能注入到特定的正常文件进程里.
内容
传播路径
没有自身传播功能,一般是通过网站,滥用邮件,论坛要设置的 Active X Control 来传播、用户点击 ''是'' 时会进行感染.
* 运行后症状
运行间谍软件(spyware)在 Windows 目录下生成一个复本.
注) windows系统文件夹的类型以版本不同有差异. 在Windows 95/98/Me C:\Windows\System,
windows NT/2000, C:\WinNT\System32, windows XP是 C:\Windows\System32 文件夹.
- elite (任意的英文字母) 32.exe : (15,872 bytes), 用 Visual C++ 制作并自动解压运行
方式.
例) elitekex32.exe
在 Windows 目录下生成 ''EliteToolBar'' 文件. 如果当系统连接到互联网,从特定主机下载到该文件夹.
- EliteToolBar.dll
- elitedoolsav.dat
- eliteerror32.dat
更改注册表当系统启动时自动运行.
HKEY_LOCAL_MACHINE\
SOFTWARE\
Microsoft\
Windows\
CurrentVersion\
Run
antiware = C:\Windows 系统目录\elite(任意的英文字母)32.exe
又生成以下注册表值.
HKEY_LOCAL_MACHINE\
SOFTWARE\
Elitum
HKEY_LOCAL_MACHINE\
SOFTWARE\
ohbbackup
当间谍软件正常的从 ''EliteToolBar'' 文件夹里的文件下载并运行时,到注册表里更改主页和搜索引擎网页.
* 隐藏症状
间谍软件是修改文件以及相关进程Win32 API来隐藏自己的存在. 隐藏以下文字列开始的文件以及进程.
- elite
一般情况下不会知道间谍软件的运行状况,在以下正常的进程当中注入(RemoteThread
Injection)自身的代码加以运行.
- explorer.exe
- services.exe
- svchost.exe
- iexplore.exe
*其它症状
生成如下互斥(Mutex)防止重复运行.
- l4ajgfGb
