词条 | TrojanDropper.Cpan |
释义 | TrojanDropper.Cpan TrojanDropper.Cpan是修改IE默认页使其指向一些色情网站的木马,它经UPX压缩过,IE默认页被修改为 webcoolsearch.com 它的传播过程为:首先安装木马程序,然后创建隐藏文件 %System%\\Cpan.dll 注:%System%一般为 C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000), or C:\\Windows\\System32 (Windows XP). 接着调用Cpan.dll 并执行下列命令:rundll32.exe ctrlpan,Restore 。 当Cpan.dll 被装载后,会有如下动作: 1.创建 %Windir%\\hh.htt 文件 2.在注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows 下添加 "AppInit_DLLs"="cpan.dll" 键值HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer 下添加 "Control" = "<number>" 键值. 3.创建或重写 %System%\\Drivers\\Etc\\Hosts file 文件,文本内容为: 127.0.0.1 localhost 213.159.117.235 auto.search.msn.com 4.在注册表 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Styles 下添加 "User Stylesheet"="%Windir%\\hh.htt" "Use My Stylesheet"=0x1 键值 HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main 下添加 "Start Page"="http:/ /aifind.info/" "Search Page"="http:/ /aifind.info/" "Search Bar"="http:/ /aifind.info/" 键值 HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer 下添加 "SearchURL"="http:/ /aifind.info/" 键值 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Search 下添加 "SearchAssistant"="http:/ /aifind.info/" 键值 5.在收藏夹里创建大量色情网站的链接。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。