雨林木风Ghost SP2百度挟持搜索栏
版本:Microsoft Windows Ghost SP2(盗版系统雨林木风)
盗版系统雨林木风内置flg32.dll,使用presafe.sys恶意驱动恶意隐藏自身不被发现和删除,使用百度联盟推广代码为自己赚钱,只要你在IE地址栏输入中文去搜索 他会转到百度,并且地址里有baidu?tn=ylmf的赚钱代码。 强制安装 无法卸载 影响IE稳定
dll分析代码抓图
附件:
您所在的用户组无法下载或查看附件病毒:(附件)
C:\WINDOWS\system32\flg32.dl(瑞星先前版本查杀后没反应)
C:\WINDOWS\system32\drivers\presafe.sys(瑞星先前版本能查杀)
注册表项
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}]: ()
HKCR\Bhotest.bhoSearch.1
HKCR\Bhotest.bhoSearch.1 [Default]: (Bhotest.bhoSearch.1)
HKCR\Bhotest.bhoSearch.1\CLSID
HKCR\Bhotest.bhoSearch.1\CLSID [Default]: ({9F6E4456-7942-4AA7-9AD2-547C2BEA32B6})
HKCR\Bhotest.bhoSearch
HKCR\Bhotest.bhoSearch [Default]: (Bhotest.bhoSearch)
HKCR\Bhotest.bhoSearch\CLSID
HKCR\Bhotest.bhoSearch\CLSID [Default]: ({9F6E4456-7942-4AA7-9AD2-547C2BEA32B6})
HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}
HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6} [Default]: (Bhotest.bhoSearch)
HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\InprocServer32
HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\InprocServer32 [Default]: (C:\WINDOWS\system32\flg32.dll)
HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\InprocServer32 [ThreadingModel]: (Both)
HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\ProgID
HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\ProgID [Default]: (Bhotest.bhoSearch.1)
HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\VersionIndependentProgID
HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\VersionIndependentProgID [Default]: (Bhotest.bhoSearch)
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GoogleT5; MAXTHON 2.0)
