越来越流氓的流氓网站……

评论
9 views

如今的流氓网站越来越流氓了,今天到绿盟软件下载软件,结果一不小心就被误导,随后中招。中的是一个叫做“ pp2345网址导航 ”的流氓网站,只要用户误下载了一个EXE可执行程序,点击之后程序随即消失,从此以后再打开IE、Opera、遨游、火狐等N多浏览器,都会被指向 www.g65.com 这个流氓网站。

后来我发现,这个流氓软件的作者还非常聪明,他先将用户桌面和开始菜单中所有浏览器的快捷方式通过修改属性的方法隐藏起来,然后又通过自己制作的虚假快捷方式来诱骗用户相信桌面和程序组中的图标跟以前的图标并无变化,以此目的欺骗用户尽快找到解决问题的办法。

如今的下载网站也真是饥不择食了,什么钱都敢挣,什么昧良心的事情也敢做。如此以往下去,不知道谁还敢去绿盟下载东西,难道绿盟软件的站长不知道,在他用这种广告每赚一分钱的时候,都是在已失去一个用户作为代价换取的。而且长期以往,一传十,十传百,绿盟软件的口碑也就烂了。对于许多急于求成的站长来说,真正的胜利往往需要极大的忍耐,长时间不甘寂寞的等待,静静地等待,耐住寂寞,经住诱惑。只有如此才能够真正用口碑打动用户,成为淘宝那样成功的网站。而杀鸡取卵饮鸩止渴者,最终也将死于自己的急功近利。

不说了,教大家怎么清除这个恶意插件的方法吧。下面的资料是我们安天实验室的安全研究与应急处理中心的未婚小伙子们分析出来的,仅供急用的用户进行参考。稍后我们将会将自动清理方法加入到《锐甲》中,大家可以去 www.ruijia.cn 下载锐甲清理。

篡改主页并锁定IE浏览器首页为www.g65.netwww.pp2345.com的顽固样本,当此样本运行后会弹出一个http://www.g65.net的页面(如图1),在桌面上创建虚假的IE浏览器快捷方式(如图23),具体分析如下: 本地文件行为:
c:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\启动 Internet Explorer 浏览器.gnt
c:\Documents and Settings\Administrator\Local Settings\Temp\~nsu.tmp\Au_.exe
c:\Documents and Settings\Administrator\「开始」菜单\程序\Internet Explorer.gnt
c:\Documents and Settings\All Users\桌面\Internet  Explorer.gnt
c:\Program Files\Common Files\System\ado\myie.vbs
c:\Program Files\lnkfiles\15.txt
c:\Program Files\lnkfiles\17.txt
c:\Program Files\Messenger\messenger.jse
c:\Program Files\Messenger\Ntype.exe
c:\Program Files\Messenger\taodwq.ico
c:\WINDOWS\system32\flash.scf

本地注册表行为:
篡改键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
新: DWORD: 2 (0x2)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1(0x1)

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\1\Shell\WFlags
新: DWORD: 2 (0x2)
旧: DWORD: 0 (0)

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\@
新: 字符串: "Internet Explorer"
旧: 字符串: "Search Results Folder"

新建键值:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PropSummary\Advanced
值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\@
值: 字符串: "打开浏览器(&H)"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\打开浏览器(&H)\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\打开浏览器(&H)\@
值: 字符串: ""
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\打开浏览器(&H)\Command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\打开浏览器(&H)\Command\@
值: 字符串: "C:\Program Files\Internet Explorer\MUI\iexplore.exe %1 http://www.G65.net/"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\属性(&R)\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\属性(&R)\Command\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\属性(&R)\Command\@
值: 字符串: "Rundll32.exe Shell32.dll,Control_RunDLL Inetcpl.cpl"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\@
值: 字符串: "HideOnDesktopPerUser

手工清除方案:
1.将本地衍生文件删掉

2.快速启动栏内的IE快捷方式恢复方法:
将IE浏览器的目录下的主程序发送到桌面快捷方式,然后将快捷方式移动到C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch目录下即可。
正常IE主程序根目录为:C:\Program Files\Internet Explorer\IEXPLORE.EXE
3.注册表清理与修复
需要删除的键值:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
键值说明:DWORD为1时隐藏桌面IE浏览器图标,为0是显示

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PropSummary\Advanced
值: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\shell\
键值说明: 删掉此键值可以删掉恶意程序增加的鼠标右键菜单

需要修复的键值:
将如下键值中的“新”的改回原来的“旧”的键值即可
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
新: DWORD: 2 (0x2)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden
新: DWORD: 0 (0)
旧: DWORD: 1(0x1)
键值说明:DWORD为 0时不显示隐藏属性的文件和文件夹

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\1\Shell\WFlags
新: DWORD: 2 (0x2)
旧: DWORD: 0 (0)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\@
新: 字符串: "Internet Explorer"
旧: 字符串: "Search Results Folder"
键值说明:将Search Results Folder改为Internet Explorer可以让系统的搜索功能失效