『原创』IE主页被修改?通过行为分析完全清除go2000
最近很多电脑都出现IE主页被强制绑定的情况,就像我前几天写的删除桌面恶意的IE图标776la.com。关于go2000.com\go2000.cn\go2000.cc网址导航这个流氓其实我在暑假的时候就写过一篇go2000.com的清除方法的文章,但是当时参考的是人家的处理方法,因为我自己没有遇到过,所以没有病毒样本进行分析。
虽然这个东西出来已经很久了,可是发现网上还是有很多人被go2000主页困扰,看来的确很顽固!于是我在网上搜索go2000的样本,从http://soft.go2000.cn/go2000.exe下载到了一个官方的主页设置工具,在虚拟机里进行了试验。通过我对它的行为分析,截取到了它对IE主页的注册表修改:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
“Start Page”=”http://www.go2000.com”[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
“”=”C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE”[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
“”=”C:\\Program Files\\Internet Explorer\\iexplore.exe http://www.go2000.com”[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]
“{871C5380-42A0-1069-A2EA-08002B30309D}”=dword:00000000[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]
“{871C5380-42A0-1069-A2EA-08002B30309D}”=dword:00000000[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}]
“”=”"
我们先不管这个,现在打开IE,发现主页已经变成了go2000.com。在Internet选项里面修改主页,再次打开的时候还是go2000.com。还有快速启动栏里的IE打开也是go2000.com。
好了,问题已经出来了,怎么清除?其实很简单了,因为我上面已经监视到了它对注册表的修改,所以只要把上面的改回去就可以了。怎么改不用我多说了吧?这里我要提醒一下,在修改[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]的Start Page时提示无法编辑,是程序对这个键值设置了权限,修改成Everyone完全控制即可。最后,不要忘了右击快速启动栏里的IE快捷方式,在“目标”里去除go2000.com的网址链接。
这样虽然主页被完全修改回来了,但是我觉得很多网友遇到并没有那么简单。我也怀疑我拿到的并不是真正厉害的go2000恶意主页捆绑样本。如果谁有,还望发我一份。
本文永久链接地址:http://www.hack520.org/ie-go2000-com-cn

















