警惕“仙劍”木馬篡改浏覽器首頁

　　辛苦從網上下載了一個軟件，安裝後沒看到我想要的功能電腦裡面卻多了一堆病毒，電腦也出現一個讓人不爽的情況，如最喜歡用的浏覽器圖標突然都不見了;桌面也多了了淘寶特賣之類的討厭的圖標，崩潰的是刪除以後重啟電腦又會出現;打開浏覽器首頁突然間變成了陌生網站，但是我根本就沒有設置過這樣的主頁的。

　　接下來就讓我們來認識下這個偽裝成正常軟件的病毒，經過分析發現這個病毒分工非常明確，每一個部分都負責不同的功能。

　　一 木馬大頭目quicklnk.exe

　　通過分析發現quicklnk.exe就像是帶頭大哥，它負責給“病毒喽羅”分配工作，如把Internet Exlporer.rar解壓到桌面，偽裝成Internet Exlporer圖標;把淘寶·特賣.exe，西游·仙劍.exe兩個文件拷貝到桌面，並讓它看上去就是一個圖標;把病毒Csrass.exe，setbrowser.exe 偷偷的啟動起來。

　　二 木馬喽羅Csrass.exe

　　Csrass.exe主要負責的是啟動setbrowser.exe(刪除常見浏覽器圖標);調用iemonitor.dll(監控浏覽器啟動並跳轉了指定的導航網站)。

　　值得我們注意的是，這個猥瑣的Csrass.exe利用了一個小技巧讓病毒不斷的復活：Csrass.exe會響應關機或Logff前的消息 WM_QUERYENDSESSION和WM_ENDSESSION，寫入自啟動項：C:Documents and SettingsAll Users「開始」菜單程序啟動Wscript.vbs，這個文件包含有讓Csrass.exe自動啟動的代碼，讓人防不勝防。

　　三 木馬喽羅setbrowser.exe

　　通過分析發現setbrowser.exe主要負責的是把桌面、快速啟動欄包含“浏覽器”，“傲游”，“谷歌”，“世界之窗”之類的快捷方式都刪除掉。

　　四 木馬喽羅Iemonitor.dll

　　通過分析Iemonitor.dll主要功能就是監視一些常見浏覽器的進程啟動，然後讓他們訪問預先設置的導航網站類似http://www.1busou.com。

　　五 QQ電腦管家修復處理

　　針對這個病毒我們可以開啟QQ電腦管家的實時防護功能就可以攔截它入侵你的電腦，而已經中招的用戶使用QQ電腦管家的木馬查殺功能即可輕松處理。