TrojanDropper.Cpan

TrojanDropper.Cpan是修改IE默認頁使其指向一些色情網站的木馬,它經UPX壓縮過,IE默認頁被修改為 webcoolsearch.com 它的傳播過程為:首先安裝木馬程式,然後創建隱藏檔案 %System%\Cpan.dll 。

概述

TrojanDropper.Cpan是修改IE默認頁使其指向一些色情網站的木馬,它經UPX壓縮過,IE默認頁被修改為 webcoolsearch.com
它的傳播過程為:首先安裝木馬程式,然後創建隱藏檔案 %System%\Cpan.dll

%System%一般為
C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), or
C:\Windows\System32 (Windows XP).
接著調用Cpan.dll 並執行下列命令:rundll32.exe ctrlpan,Restore 。
當Cpan.dll 被裝載後,會有如下動作:
1.創建 %Windir%\hh.htt 檔案
2.在註冊表 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下添加 "AppInit_DLLs"="cpan.dll" 鍵值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer 下添加 "Control" = "<number>" 鍵值.
3.創建或重寫 %System%\Drivers\Etc\Hosts file檔案,文本內容為:
127.0.0.1 localhost
213.159.117.235 auto.search.msn.com
4.在註冊表 HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Styles 下添加 "User Stylesheet"="%Windir%\hh.htt"
"Use My Stylesheet"=0x1鍵值
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下添加 "Start Page"="http:/ /aifind.info/"
"Search Page"="http:/ /aifind.info/"
"Search Bar"="http:/ /aifind.info/"鍵值
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer下添加 "SearchURL"="http:/ /aifind.info/"鍵值
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search下添加 "SearchAssistant"="http:/ /aifind.info/"鍵值
5.在收藏夾里創建大量色情網站的連結。

相關詞條

相關搜尋

熱門詞條

聯絡我們