超过40万网友中招电脑被劫持(2)

LockPage.exe作用：
1.用于保存“插件模块”的存放目录信息，创建com组件注册表的路径等信息。
2.解密释放文件config.dat到%temp%和C:ProgramFilesCommon FilesSystem 目录下，该文件保存导航主页的配置信息。
3.根据系统版本数位不同，释放safe32.dat或者safe64.dat命名为safe.zip，并将文件生成到”%temp%”和C:ProgramFilesCommonFilesSystem目录下，safe32.dat 和safe64.dat是主页劫持的核心模块。
4.木马通过该创建COM组件接口的方式将safemonn.dll进行注入explorer中
5.根据不同版本位数的系统解密释放safemonn32.dll或者safemonn64.dll文件到C:ProgramFilesCommon FilesSystem目录下。
6.做完以上操作后，木马会重启Explorer进程，并自删除。这时safemonn.dll将被explorer自动加载启动。
PS:Safemonn它的在整个模块中扮演的loader的”角色”，负责加载safe32.dat或者safe64.dat和卸载自身

这“蜗牛”牛逼的地方：
1.自动检测自己的锁定主页配置文件是否已经被删除，如果文件不存在，云端下载配置文件
2.云端获取淘宝客配置文件
3.还可以黑吃黑，通过云端耍流氓，把别人锁定的主页换成自己的
4.蜗牛锁页的驱动主要起到保护注册表、对抗安全厂商主页锁定模块、淘宝客劫持、主页劫持、关机修复等功能
对此，金山毒霸安全专家建议推广技术人员特别警惕这种主页生成器，切勿帮助他人进行病毒的传播。如果大家有更好的建议，欢迎大家关注、评论、转发、收藏、点赞等方式一起学习交流。