文件名称:lass.exe
文件大小:65536 bytes
AV命名:
Trojan.StartPage.xar(Webwasher-Gateway)
Trojan-Downloader.Win32.VB.aoe(Ikarus)
Trojan.Win32.StartPage.azd(Kaspersky)
加壳方式:未
编写语言:Microsoft Visual Basic 5.0 / 6.0
文件MD5:513dc8a221e5a94a4bba2e0ee121da36
行为分析:
1、释放文件:
C:\Program Files\lass.exe 65536 字节
2、添加启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(注册表值) wdowsxp = REG_SZ, "C:\Program Files\lass.exe /start"
3、修改IE主页为:hxxp://bbs.zmke.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
(注册表值) Start Page
REG_SZ, "about:blank" ==> REG_SZ, "hxxp://bbs.zmke.com"
4、修改注册表,不允许改回主页:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
(注册表值) NoBrowserOptions = REG_SZ, "1"
5、修改注册表,禁用任务管理器,防止病毒体被结束:
Registry key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Registry value: DisableRegistryTools
New value:
Type: REG_SZ
Value: 1
Previous value:
Type: REG_DWORD
Value: 00000000
6、链接222.77.187.2××(福建福州)提交计算机的一些敏感信息。
解决方法:
1、下载SREng(可到down.45it.com下载),后断开网络
2、删除启动项:wdowsxp(详细步骤:打开SREng-启动项目-注册表)
3、删除文件:C:\Program Files\lass.exe