Trojan/Startpage.lt

病毒长度：20,992 字节 62,464 字节(解压后)

病毒类型：木马

危害等级：*

影响平台：Win9X/2000/XP/NT/Me

Trojan/Startpage.lt用UPX压缩的木马程序，通过IRC、对等网、新闻组和邮件进行传播，感染此木马后IE起始页和搜索页被修改。

传播过程及特征：

1.修改注册表：

[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]

"Search Bar" = http://auto.ie.searchforge.com/

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce]

"atpanel"= regsvr32.exe /s %Program Files%\\Common Files\\Microsoft Shared\\Web Folders\\pubplace.dll

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnce]

"nvpdep" = regsvr32 /s /u %Windir%\\dnserr.dll

[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]

"Search Page" = http://auto.ie.searchforge.com/

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Search]

"SearchAssistant" = http://auto.ie.searchforge.com/

2.生成文件：

%Program Files%\\Common Files\\Microsoft Shared\\Web Folders\\pubplace.dll --- 12,800 字节

%Program Files%\\Internet Explorer\\readme.txt --- 386 字节

注：%Windir%为变量，一般为C:\\Windows 或 C:\\Winnt；

%Program Files%一般为c:\\Program Files；

%System%为变量，一般为C:\\Windows\\System (Windows 95/98/Me), C:\\Winnt\\System32 (Windows NT/2000),

或 C:\\Windows\\System32 (Windows XP)。