最近发现的一种浏览器劫持木马

今天发现IE浏览器总是被修改成：http://www.139999xxxx.com，然后重定向到一个随机的网页，模仿hao123的一个网页导航网站。通过各种杀毒软件，都没报告有病毒。

使用ProcessExplore查看系统进程，会发现IE进程成为了rundll32.exe的子进程，自然觉得蹊跷，查看进程属性发现：

 

 

"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\winhuanbang\altersvr.dll" Scanprocess

 

显然，木马通过rundll32.exe启动自身，然后劫持IE，只要启动IE，就修改其首页。木马文件在C:\WINDOWS\winhuanbang\目录，中止上述木马进程，删除木马文件，然后使用其他工具删除此无效的自启动项即可。

set ws = WScript.CreateObject("WScript.Shell")

ws.Run "rundll32.exe /c shellpro.dll shellsethome", 0