原本只是一个IE主页的问题,www.henbucuo.com占据IE死活不走,似乎又是一个“很不错”导航网站劫持浏览器的例子。经检查,也确是如此,IE快捷方式属性中添加了该网址,导致一打开IE就上了那个所谓的“很不错”网站,同样在IE的ACTIVE安装组件中也有添加项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{FS602M90-I68Z-J46Y-4OYX-N7UH14Q2GRX1}]
<N/A><odhsn.exe> [(Verified)Microsoft Windows Publisher]
但让我迷惑的是为什么这个odhsn.exe能在SREng中显示为通过验证(Verified),而www.virscan.org上的扫描结果中大部分(79%)杀毒软件判定其为病毒。由于那位朋友最终也没有把样本上传,因此没有机会看到这个文件的真实情况,而上述的主页劫持问题也在删除快捷方式属性中的网址后恢复正常。
因此,遇到(Verified)标示的并非一定是安全,也可能是有问题的)