很多人为了方便将IE主页修改为自己喜欢的网站。比如www.hao123.com 。但是最近频频收到用户反馈，一个恶意广告木马强行修改IE主页为http://www.ku2009.com/?1220，众多安全软件不能清除，同时不能被手工恢复。

金山安全中心经过分析发现该广告木马一旦感染将“查不到，摸不着”，它隐匿在用户电脑，通过汲取广告点击获得非法收入。由于采用了rootkit技术普通用户根本无法手工发现并清除这个广告木马变种。同时该广告木马是目前为止发现的唯一可绕过安全工具数字签名验证的木马

1 为修改IE主页专门定制的rootkit技术－“摸不着”

该恶意广告木马通过安装一个恶意驱动来挟持系统正常功能比如查看文件修改注册表，使得用户对IE主页的修改不能生效。同时该广告木马会隐藏的本体，不能在我的电脑，甚至winrar都不能看到本体。

2 首创的数字签名验证绕过技术－“查不到”

大家都知道数字签名被广泛用来鉴别病毒及恶意程序，但是此广告木马会欺骗金山清理专家，Autoruns等安全软件的数字签名验证机制（就好比考试作弊，将精心准备充满100分气息的卷子给清理专家检查，结果当然是好的），由于大量安全软件使用数字签名来初步判断程序安全，因此不能很好的发现该广告木马，清除就更谈不上了