【導(dǎo)讀】這是一個使用[borland c++]編寫的病毒，

對流氓軟件“3448”的分析流氓清理

    這是一個使用[borland c++]編寫的病毒。系統(tǒng)被感染后，打開ie或者其他瀏覽器起始頁面被篡改為hxxp://wxw.3448.com/。

    病毒通過api hook自我保護(hù)。通過其他惡意程序或者自身下載升級下載并得到執(zhí)行，使用隨機(jī)文件名達(dá)到屏蔽文件名清除模式。

    病毒運(yùn)行后有以下行為：

    一、病毒通過修改注冊表softwaremicrosoftwindowscurrentversion un達(dá)到開機(jī)自動運(yùn)行的目的。

    病毒主要通過rundll32.exe加載。

    病毒還感染tencent qq的timproxy.dll文件的導(dǎo)入表，可以在用戶啟動qq的時候加載。

    加載后使用消息鉤子注入各進(jìn)程，并根據(jù)進(jìn)程名做不同的動作。

    主要有：

    1、hook進(jìn)程api，自我保護(hù)。

    2、注入在qq.exe進(jìn)程中的，僅做修改注冊表的動作。

    3、注入在explorer.exe進(jìn)程中的病毒主要做一下動作。

    (1)主要破壞注冊表safeboot鍵，導(dǎo)致無法進(jìn)入安全模式。

    (2)下載文件并通過文件類型更新，運(yùn)行或者替換hosts文件，

電腦資料

    (3)感染tencent qq的timproxy.dll文件的導(dǎo)入表。

    二、通過rundll32.exe加載的病毒，會把自己復(fù)制到系統(tǒng)目錄(%systemdir%)和驅(qū)動目錄(%systemdir%drivers)。

    三、修改注冊表以下鍵值：

    注冊表鍵：softwaremicrosoftinternet explorermain

    數(shù)據(jù)項(xiàng)："start page"

    數(shù)據(jù)值為："http://www.3448.com"

    注冊表鍵：softwaremicrosoftinternet explorersearch

    數(shù)據(jù)項(xiàng)："customizesearch"

    數(shù)據(jù)值為："http://www.3448.com"

    注冊表鍵：softwaremicrosoftinternet explorersearch

    數(shù)據(jù)項(xiàng)："searchassistant"

    數(shù)據(jù)值為："http://www.3448.com"

    四、搜索進(jìn)程名或者窗口文字包含以下字符串的進(jìn)程，發(fā)現(xiàn)后關(guān)閉計(jì)算機(jī)。

    關(guān) 鍵 字：流氓清理

    相關(guān)文章：

    十一種常見流氓軟件完全卸載方法

    穩(wěn)打穩(wěn)扎 驅(qū)逐系統(tǒng)“流氓”文件

    惡意軟件花招 警惕非官方版本

    IT界成立小組提案懲治流氓軟件

    維權(quán)意識!奇虎開通惡意軟件舉報(bào)中心