IE首页被锁定为7939.com/7b.com.cn的问题和修复

7b.com.cn 分析如下..
IE首页被锁定为 7b.com.cn 的问题....
看过一下样本,怀疑跟realplayer.exe(7939.com),是同一个作者

7b.com.cn 被挂了一个MS06-014 Exploit,用来下载start.exe

1. 当 start.exe 运行时,释放以下档案
-%PROGRAMFILES%TencentQQMessenger.exe (跟start.exe一样)
-%PROGRAMFILES%TencentQQRTraveler.dll
-%SYSTEM%Maxthonz.dll

RTraveler.dll会载入到Explorer.exe

2. 加启动项
Realplayer.exe = %PROGRAMFILES%TencentQQMessenger.exe
Messenger.exe = %PROGRAMFILES%TencentQQMessenger.exe
Messager.exe = %PROGRAMFILES%TencentQQMessenger.exe
到
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
HKCUSoftwareMicrosoftWindowsCurrentVersionRun

3. 加了以下的Registry Key
HKLMSOFTWAREMicrosoft NT

4. 注册Maxthonz.dll,新增以下Registry keys
HKEY_CLASSES_ROOTCLSID{0EB00690-8FA1-11D3-96C7-829E3EA50C29}
HKEY_CLASSES_ROOTPROTOCOLSFiltertext/html ( CLSID指向{0EB00690-8FA1-11D3-96C7-829E3EA50C29} )

5. 修改IE主页
HKCUSoftwareMicrosoftInternet ExplorerMain
"Start Page"=hxxp://7b.com.cn/

6. 读取hxxp://count.checkthisdoor.com上的一个HTML,检查有没有新版本的EXE + 要修改的主页 + 检查其他设定
如果有更新,就从hxxp://file.checkthisdoor.com/下载一个rar (其实是一个EXE)到 %TEMP%
----------------------------------------------------------------------------
7939.com和7b.com.cn 专杀....

专杀清除
a) 下载附件 7939_7b_v1.zip 到桌面,解开压缩包,运行bfu.exe
b) 按 文件夹图示 ,选取在 bfu.exe 旁的 7939_7b_v1.bfu 档案
c) 选取后, 确定已勾上 Use settings specified in script for above options
d) 请关闭正在使用的程式和浏览器(eg. QQ,IE),按 Execute 开始 , 请耐心等候
e) 完成后,可能会提示你要重新开机,请重新开机

你会发现在%SYSTEMDRIVE% (一般C: ) 下,会多了一个Suspect file的文件夹,删除就可以了

The attached BFU script is written by Krazaf/tkabc....

专杀下载地址⒈ : http://mopery.hits.io/7939_7b_v1.zip
专杀下载地址⒉ : http://space.uwants.com/batch.download.php?aid=89546
在此感谢作者 TKabc
by:mopery