关注恶意软件：

• 名称：浏览器劫持木马（Trojan-Dropper.Win32.StartPage.eip）
• 大小：2.73 MB
• 是否加壳：否

   

创建文件：

C:\Program Files\世界之窗\019c1e8d2751e5fc0f2444c2.jpg
C:\Program Files\世界之窗\1faeba35ac80eedaa71e1238.jpg
C:\Program Files\世界之窗\3799dbb001be24f6d8335ad3.jpg
C:\Program Files\世界之窗\4846f89df704a4476e068cd8.jpg
C:\Program Files\世界之窗\58861213cdf0cf4e213f2ea8.jpg
C:\Program Files\世界之窗\5bd76a0a07d391756a60fbaa.jpg
C:\Program Files\世界之窗\979e5ec3f6b5ee8cd000604a.jpg
C:\Program Files\世界之窗\a319b6dabebf307d10df9bee.jpg
C:\Program Files\世界之窗\aec0fc3b5f668e75b9998f10.jpg
C:\Program Files\世界之窗\b07d74dba314575c622798fa.jpg
C:\Program Files\世界之窗\b1576f1928efe62adbb4bd2b.jpg
C:\Program Files\世界之窗\db43931357b0afadc2ce79a4.jpg
C:\Program Files\世界之窗\oem.ini
C:\Program Files\世界之窗\世界之窗.exe
C:\Program Files\世界之窗\世界之窗.ini
C:\Program Files\世界之窗\世界之窗.url
C:\Program Files\世界之窗\theworld.ac
C:\Program Files\世界之窗\Uninstall.exe
C:\Program Files\世界之窗\twcache.ini
C:\Documents and Settings\Administrator\桌面\世界之窗.lnk
C:\Documents and Settings\Administrator\桌面\hao123网址大全.lnk
C:\Documents and Settings\Administrator\Favorites\单机游戏下载.url
C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch\世界之窗.lnk
C:\Documents and Settings\Administrator\「开始」菜单\程序\世界之窗\世界之窗.lnk
C:\Documents and Settings\Administrator\「开始」菜单\程序\世界之窗\卸载.lnk

修改注册表：

HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = "http://www.1122j.com/?1126"
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = "http://www.1122j.com/?1126"
HKLM\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\(Default) = ""C:\Program Files\Internet Explorer\iexplore.exe" http://www.1122j.com/?1126"
HKCU\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\(Default) = ""C:\Program Files\Internet Explorer\iexplore.exe" http://www.1122j.com/?1126"

行为描述：

此恶意程序来自于某下载网站（非世界之窗官方网站），安装过程中有界面，容易使用户认为是正常安装程序。该恶意网站将正常的世界之窗浏览器与恶意修改过的配置文件打包在一起，并且在安装过程中通过恶意脚本对系统进行修改。

恶意代码会在桌面以及收藏夹中添加一些推广的链接，并且修改用户在浏览器中的搜索结果，强行劫持搜索内容，将用户定向到黑客推广的网站。干扰用户正常浏览互联网。即使用户卸载该浏览器，其被修改过的系统设置也不会恢复。

目前，卡巴斯基所有产品均可以对该木马进行查杀。

专家预防建议:

• 建立良好的安全习惯，不打开可疑邮件和可疑网站。
• 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。
• 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。
• 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。
• 安装专业的防毒软件升级到最新版本，并开启实时监控功能。
• 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。
• 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。