雨林木风Ghost SP2百度挟持搜索栏

版本:Microsoft Windows Ghost SP2(盗版系统雨林木风)

盗版系统雨林木风内置flg32.dll,使用presafe.sys恶意驱动恶意隐藏自身不被发现和删除,使用百度联盟推广代码为自己赚钱,只要你在IE地址栏输入中文去搜索 他会转到百度,并且地址里有baidu?tn=ylmf的赚钱代码。 强制安装 无法卸载 影响IE稳定

dll分析代码抓图


 附件: 您所在的用户组无法下载或查看附件



引用:
病毒:(附件)
C:\WINDOWS\system32\flg32.dl(瑞星先前版本查杀后没反应)
C:\WINDOWS\system32\drivers\presafe.sys(瑞星先前版本能查杀)




引用:
注册表项
HKCU\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}]: ()

HKCR\Bhotest.bhoSearch.1

HKCR\Bhotest.bhoSearch.1 [Default]: (Bhotest.bhoSearch.1)

HKCR\Bhotest.bhoSearch.1\CLSID

HKCR\Bhotest.bhoSearch.1\CLSID [Default]: ({9F6E4456-7942-4AA7-9AD2-547C2BEA32B6})

HKCR\Bhotest.bhoSearch

HKCR\Bhotest.bhoSearch [Default]: (Bhotest.bhoSearch)

HKCR\Bhotest.bhoSearch\CLSID

HKCR\Bhotest.bhoSearch\CLSID [Default]: ({9F6E4456-7942-4AA7-9AD2-547C2BEA32B6})

HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}

HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6} [Default]: (Bhotest.bhoSearch)

HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\InprocServer32

HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\InprocServer32 [Default]: (C:\WINDOWS\system32\flg32.dll)

HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\InprocServer32 [ThreadingModel]: (Both)

HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\ProgID

HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\ProgID [Default]: (Bhotest.bhoSearch.1)

HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\VersionIndependentProgID

HKCR\CLSID\{9F6E4456-7942-4AA7-9AD2-547C2BEA32B6}\VersionIndependentProgID [Default]: (Bhotest.bhoSearch)


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; GoogleT5; MAXTHON 2.0)

附件附件:

您所在的用户组无法下载或查看附件

最后编辑晕4 最后编辑于 2008-11-07 21:45:53