§ 简介

TrojanClicker.Qhost.a

病毒长度：变长

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me/2003

TrojanClicker.Qhost.a是用VC++编写的木马程序，为了能指向不同的DNS服务器更改TCP/IP设置，并修改你的IE默认页及搜索页。

§ 特征

传播过程及特征：

1.创建下列文件：

%WinDir%\\web\\oslogo.bmp, 1287字节

%WinDir%\\hosts, 32字节

2.修改注册表：

病毒通过修改下列注册表键值，改变IE默认主页等信息：

【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer】

"Search" = http://%6f%75%74%2e%74%72%75%65%2d%63%6f%75%6e%74%65%72%2e%63%6f%6d/%62/?%38%34%30%38%32%38

【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main】

"Default_Search_URL" = http://%6f%75%74%2e%74%72%75%65%2d%63%6f%75%6e%74%65%72%2e%63%6f%6d%62%38%34%30%38%32%38

【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main】

"Search Page" = http://%6f%75%74%2e%74%72%75%65%2d%63%6f%75%6e%74%65%72%2e%63%6f%6d%62%38%34%30%38%32%38

【HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Styles】

"User Stylesheet" = c:\\windows\\web\\oslogo.bmp

3.在HOSTS文件里添加信息，导致不能访问站点

<一个无效的IP地址> auto.search.msn.com

注：%WinDir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。

• 河南工业贸易学院
• 河南师范大学体育学院
• 河南师范大学化学与环境科学学院04化工班
• 河南师范大学外国语学院
• 河南师范大学学报
• 河南师范大学政治与管理科学学院
• 河南师范大学教育科学学院
• 河南师范大学数学与信息科学学院
• 河南师范大学文学院
• 河南师范大学新联学院
• 河南师范大学法学院
• 河南师范大学物理与信息工程学院
• 河南师范大学生命科学学院
• 河南师范大学社会发展学院
• 河南师范大学经济与管理学院学院
• 河南师范大学美术学院
• 河南师范大学计算机与信息技术学院
• 河南师范大学附属中学
• 河南师范大学音乐系
• 河南平顶山应国墓地
• 河南建业足球俱乐部
• 河南战役
• 河南教育信息港
• 河南新密古城寨龙山时代古城
• 河南新郑郑韩故城郑国祭祀遗址