海鸥航迹

学习之笔记,好文之收集。

导航

最近发现的一种浏览器劫持木马

今天发现IE浏览器总是被修改成:http://www.139999xxxx.com,然后重定向到一个随机的网页,模仿hao123的一个网页导航网站。通过各种杀毒软件,都没报告有病毒。

使用ProcessExplore查看系统进程,会发现IE进程成为了rundll32.exe的子进程,自然觉得蹊跷,查看进程属性发现:

 

clip_image002

 

"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\winhuanbang\altersvr.dll" Scanprocess

 

显然,木马通过rundll32.exe启动自身,然后劫持IE,只要启动IE,就修改其首页。木马文件在C:\WINDOWS\winhuanbang\目录,中止上述木马进程,删除木马文件,然后使用其他工具删除此无效的自启动项即可。

clip_image004

set ws = WScript.CreateObject("WScript.Shell")

ws.Run "rundll32.exe /c shellpro.dll shellsethome", 0

posted on 2010-10-07 17:48  海天一鸥  阅读(824)  评论(0编辑  收藏  举报