病毒特性:
Win32.Puper是一族特洛伊木马病毒,它会篡改被感染机器IE浏览器的主页及默认搜索页面地址。同时还监控被感染机器所访问的网站。
感染方式:
运行时,蠕虫会在系统目录%System%中复制下列病毒副本文件:
HHK.DLL 用来给木马进行标识注册的DLL库文件
intmonp.exe 也可能一些变种生成的文件是intmon.exe
hp< xxxx > .tmp 为Win32.Startpage.QE
注:< xxxx >是四位随机产生的十六进制数值。例如:hpAB3E.tmp。
% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
Win32.Puper会在注册表中添加下面的键值,以便每次IE浏览器("explorer.exe")启动时木马会自动执行:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\paint.exe = "shnlog.exe"
"intmonp.exe"文件通常伴随着"popuper.exe"文件。这些文件都用来反复登陆以防被终止。如果在系统中没有找到"intmonp.exe"文件,"popuper.exe" 也会生成"intmonp.exe"文件。它也会设置以下键值,以便在"explorer.exe"启动时运行它:
HKLM\Software\Microsoft\Windows\CurrentVersion\policies\explorer\notepad2.exe = "popuper.exe"
这个键值也被特洛伊所监控。如果它被修改,特洛伊会重新设置这个键值。
特洛伊还会设置以下键值,以便将hp.tmp作为Browser Helper
Object (BHO)安装在系统上:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\(Default) = ""
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objecta\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\(Default) = ""
HKLM\Software\Classes\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\InprocServer32\(default) = %system%\hp.tmp
HKLM\Software\Classes\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\InprocServer32\ThreadingModel = "Apartment"
HKLM\Software\Classes\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\ProgID\(Default) = "VMHomepage.1"
HKLM\Software\Classes\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\Programmable\(Default) = " "
HKLM\Software\Classes\CLSID\{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}\VersionIndependentProgID\{Default) = "VMHomepage"
HKLM\Software\Classes\CLSID\VMHomepage\CurVer = "VMHomepage.1"
HKLM\Software\Classes\CLSID\VMHomepage\CLSID = "{FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFF}"
HKLM\Software\Classes\CLSID\VMHomepage.1\CLSID = "{cf673b59-8e6f-4a0b-b1b9-3224d24f6800}"
危害
改变系统设置
木马会修改下列注册表键值,以修改用户IE主页、搜索页面和Search Bar:
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Local Page
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page
HKCU\Software\Microsoft\Internet Explorer\Main\Search bar
HKCU\Software\Microsoft\Internet Explorer\Main\Use Search Asst
HKCU\Software\Microsoft\Internet Explorer\Main\Default_Search_URL
HKCU\Software\Microsoft\Internet Explorer\Main\Search Page
HKCU\Software\Microsoft\Internet Explorer\Search URL\(Default)
HKCU\Software\Microsoft\Internet Explorer\Search
HKCU\Software\Microsoft\Internet Explorer\CustomizeSearch
监控互联网活动
除了启动文件"intmonp.exe"之外,"popuper.exe"还用来监视用户使用IE所访问过的站点。它会周期性的把这些信息记录在文件"sites.ini"中(文件所在目录和木马被执行时所在的目录为同一目录)
移除BHO(Browser Helper
Objects)
木马会通过删除下面这个注册表键值下的所有子键值来删除系统中的所有BHO(Browser Helper
Objects):
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects
也包括所有参考文件用到的默认键值。
其他信息
木马修改下面这个注册表键值以便可以使用Browser Helper
Objects:
HKCU\Software\Microsoft\Internet Explorer\main\Enable Browser Extensions = "yes"
