传播方式 :利用
IE漏洞传播
“狩猎者
”木马通常是在您用
QQ聊天时,对方发了个网址过来(其实是对方机器上的木马病毒自动发送的),大致内容是那个网站很精彩,让您去那个网站看
(如:
1:完了帮我看看这个网
http://www*7sou*com打开了告诉我;
2:我最近照了几张相片
http://www*ok530*com有空去看看;
3:想发贺卡了到这个站
http://www*fun520*com 进去后点贺卡分类等一系列网站
)。当您点击那个网址时,就可能会从那个网站上自动载并安装一个木马(
“狩猎者
”系列)到您的机器上,在注册表中加载为开机自启动,并修改您的
IE起始页为那个网址。该变种比其前几个版本更近一步,还会在电脑中查找一个流行病毒专杀工具
“spant”,并将其删除。以下是该
“狩猎者
”变种的技术特点:
Troj.QQmsgktv530.32
1、在
WINDOWS系统目录里生成以下文件
%system%\restory.exe
%system%\msater.exe
%system%\sysfiler.exe
2、修改注册表启动项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\restory
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysfiler
3、修改
IE主页为
“ http://www*fun520*com;
http://www*7sou*com http://www*ok530*com ……”等
4、该变种比其前几个版本更近一步,还具有会在进程,或当前所有进程的文件属性中查找
“spant.exe”(一种流行病毒专杀工具)等特征,结束进程并在磁盘中搜索文件
spant.exe,并将其删除的恶性行为。
手工清除方法:
1、对于
WIN9X系统,可以启动到纯
DOS模式下,删除病毒所生成的所有复本文件。然后再启动系统删
WIN.INI文件中的
RUN项,删除病毒在注册表中添加的启动项,使用
“控制面版
”中的
“Internet选项
”来修改
IE的主页;
2、对于
WIN2000/WINXP系统,使用进程管理器搜索名字为
“restory.exe, sysfiler.exe”的进程,并立即结束它们,然后在
WINDOWS安装目录和系统目录中彻底删除这些文件。删除病毒在注册表中添加的启动项,使用
“控制面版
”中的
“Internet选项
”来修改
IE的主页;
3、建议安装
IE6.0SP1。
