LINKS
 

 

[回首页]

Trojan.Activex.WHG万花谷 专页

一、木马基本特性

类型

Trojan
Backdoor

运行平台

DOS
WIN9X
WIN NT/2K

来源

■中国

 特性
Server/Client模式
修改注册表
修改系统文件
修改注册表文件关联
开机驻留
感染文件


修改WIN.INI
修改SYSTEM.INI
修改CONFIG.SYS
修改AUTOEXEC.BAT

可自定义端口
可自定义文件名

二、介绍


国内有心怀不轨的人到处在互连网上散发一个美丽诱人的网址“万花谷”,这实际是一个恶意“陷阱”,有人经不住诱惑,只用鼠标轻轻点一下,计算机就立即就瘫痪了,实际上这是一个含有恶意ActiveX代码的网页文件。

其破坏特性如下: 

  1. 用户不能正常使用WINDOWS的DOS功能程序
  2. 用户不能正常退出WINDOWS
  3. 开始菜单上的"关闭系统"、"运行"等栏目被屏蔽,防止用户重新以DOS方 式启动,关闭DOS命令、关闭REGEDIT命令等
  4. 将IE的浏览器的首页和收藏夹中都加入了含有该有害代码网页的网络地 址

具体的表现形式是:

  • 网络地址是:www.on888.xxx.xxx.com; 
  • 在IE的"收藏夹"中自动加上"万花谷"的快捷方式, 网络地址 是:"http://96xx.xxx.com";进入该网页的话,如果你的浏览器的版本在IE4.0以 上,那么该网页显示的是一个有光效滤镜的网页,随着鼠标的移动,会造成光线照 在网页图片不同地方的效果,光效一共有4种。 

将IE的首页通过系统注册表项
HKEY_LOCAL_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page"

设置成为"on888.xxx.xxx.com/";

为了达到该网页文件的破坏性,该ActiveX 对系统的注册表做了如下的修改: 首先在开始菜单上禁止了"运行"项目,使用户不能通过通常的注册表编辑器来 修改该有害网页对系统注册表的修改: 

以下的注册表项表现在没有"运行"菜单: 
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explo rer\NoRun"; 

以下的注册表项表现在没有"关闭系统"项目:
 "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explo rer\NoClose"; 

以下的注册表项表现在没有"注销"项目; 
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoLogOff";

以下的注册表项表现在没有所有的逻辑驱动器: 
"HKCU\Software\Microsoft\Windows\\CurrentVersion\Policies\Explo rer\NoDrives"; 

以下的注册表项表现在禁止注册表的编辑工具REGEDIT: 
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Syste m\DisableRegistryTools 

以下的注册表项表现在没有桌面: 
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explo rer\NoDesktop"; 

以下的注册表项表现在禁止运行所有的DOS应用程序; 
"HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOl dApp\Disabled"; 

以下的注册表项表现在系统不能启动到"实模式(传统的DOS模式)"下;
 "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WinOl dApp\NoRealMode"; 

以下的注册表项表现在WINDOWS系统登录时显示一个登录窗口(在MICROSOFT 网络用户登录之前): 
"HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\Legal NoticeCaption",
(窗口的标题是) "欢迎来到万花谷!你中了※万花奇毒※.请与 OICQ:4040465联系!"); 
"HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon\Legal NoticeText", 
(窗口中的文字是)"欢迎来到万花谷!你中了※万花奇毒※.请与 OICQ:4040465联系!"); 

以下的注册表项表现在所有IE的窗口都会加上以下的WINDOWS标题窗口:
 "HKLM\Software\Microsoft\Internet Explorer\Main\Window Title", "欢迎来到万花谷!请与OICQ:4040465联系!");
 

最后的表现是在用户的计算机的IE浏览器上打开无数的窗口,使得IE根本无法使用。同时用户正常的一些功能:桌面、开始中的运行、DOS方式、REGEDIT等都无法使用。

方法

本站独家提供针对万花谷的注册表恢复文件

对应不同的操作系统请下载:

win2000: kill_whg(2k).reg

win9x: kill_whg(98).reg