按网友的描述,有自动弹出广告页面的现象,发现一个可疑注册表启动项ruanyouqun.exe,而网上搜索结果寥寥,能找到的竟然还是电脑报论坛的一个帖子,内容是IE主页篡改的求助,也有这个runyouqun.exe,启动项一模一样(当然那个去年旧帖还有sddinstu.exe、codrmk.drv等异常之物,不过处于被“禁用”的状态),如下:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<LogAction><"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ruanyouqun\ruanyouqun.exe" -LastFix>
不过本次只有自动弹出广告窗口,而没有篡改IE主页,而且是否与ruanyouqun.exe有关也不能百分之百确定,只是这个ruanyouqun.exe启动项确实可疑,文件没有任何公司发行与版权信息,而且处于临时目录中,虽然网上也有virscan.org关于ruanyouqun.exe的扫描结果,不过是2010年6月份的,当时的各种杀毒软件都没有对ruanyouqun.exe报毒,不知道现在是怎么结论。
由于没有得到样本,只能存疑。
2011--8-27补充:
终于拿到样本,除了上面说的ruanyouqun.exe外还有logaction.dat、logaction.log及备份文件夹等,这样终于了解到上面注册表项最后的LastFix是什么意思,这也是我一直怀疑可能是什么修复的工具的地方,把ruanyouqun.exe重新上传多引擎查毒网站扫描检查,同样没有一个杀毒软件报为病毒,运行后发现这确实是一个修复IE主页的小工具(利用自定义修复杀毒工具logaction做的),该注册表项是用于重启修复用的,重启修复后会自动删除,不会有残留。怀疑解除。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1086.html
