整理磁盤發(fā)現(xiàn)之前有個(gè)有趣的流氓招數(shù)忘記分享了,每次看到新鮮的東東都感慨黑暗勢(shì)力的層出不窮的招數(shù),比某些安全廠商是不是自相殘殺好多了.電腦日常使用過(guò)程中我們經(jīng)常輸入開(kāi)頭為http ftp,點(diǎn)擊諸如ed2k的鏈接,每個(gè)鏈接的背后都會(huì)執(zhí)行相應(yīng)的功能.如http 通過(guò)iexplore.exe,ed2k通過(guò)QQ旋風(fēng)打開(kāi)..這次是病毒作者利用這個(gè)特性來(lái)實(shí)現(xiàn)隱蔽加載病毒躲避查殺
1 相遇URL Protocol
(1) 靈異的Internat Explorer.url
去年12月遠(yuǎn)程解決一個(gè)用戶問(wèn)題的時(shí)候發(fā)現(xiàn),第一看到httqs的時(shí)候馬上就理解為https,心想https://www.baidu.com(我的猜想是這里使用百度是為了防止某些安全軟件檢測(cè),大家都知道這個(gè)網(wǎng)站太真,太正常了)不是很正常嗎?結(jié)果呢打開(kāi)一個(gè)網(wǎng)址導(dǎo)航網(wǎng)站. 發(fā)現(xiàn)此q非p以后恍然大悟,看來(lái)問(wèn)題就出在這個(gè)httqs,打開(kāi)注冊(cè)表HKEY_CLASSES_ROOT查找果然發(fā)現(xiàn)貓膩,最終通過(guò)IEXPLORE.EXE打開(kāi)h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17導(dǎo)航網(wǎng)站
[HKEY_CLASSES_ROOT\httqs]
"URL Protocol"=""
[HKEY_CLASSES_ROOT\httqs\shell\open\command]
@="Rundll32 shell32.dll,ShellExec_RunDLLA C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17"
(2) 再見(jiàn)神奇RunOnce病毒啟動(dòng)項(xiàng)
接下來(lái)又遇到幾個(gè)反復(fù)清除的問(wèn)題反饋,經(jīng)過(guò)檢查發(fā)現(xiàn)這些電腦普遍都存在一個(gè)看上去不是很合理的RunOnce病毒啟動(dòng)項(xiàng).看到ADCS:\\Windows\\system32\\debug.exe第一印象是是不是病毒作者寫錯(cuò)了,第二印象Windows\\system32\\debug.exe(根據(jù)我的猜測(cè)這個(gè)只是為了繞過(guò)安全軟件檢測(cè),因?yàn)橹赶虻奈募钦5?這個(gè)文件是不是存在問(wèn)題,但是到sys32目錄下查找這個(gè)文件明明是系統(tǒng)文件沒(méi)問(wèn)題.最終依然將目光轉(zhuǎn)移到ADCS:打開(kāi)注冊(cè)表HKEY_CLASSES_ROOT,顯然最終目的是運(yùn)行病毒文件D:\\RECYCLERZT1\\2.vbe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Explorer"="Explorer ADCS:\\Windows\\system32\\debug.exe"
[HKEY_CLASSES_ROOT\ADCS]
@="目錄類容器"
"URL Protocol"=""
[HKEY_CLASSES_ROOT\ADCS\explorer\open\command]
@="Rundll32 shell32.dll,ShellExec_RunDLLA D:\\RECYCLERZT1\\2.vbe"
2 URLProtocolView查看電腦中所有URL Protocol
URLProtocolView:一個(gè)小工具可以查看電腦里面所有的URL Protocols,運(yùn)行URLProtocolView以后按照修改時(shí)間排列如圖馬上就發(fā)現(xiàn)可疑項(xiàng)目ADCS和device.
渝公網(wǎng)安備 50024202000196號(hào)
域名注冊(cè)知識(shí)
虛擬主機(jī)知識(shí)
網(wǎng)站建設(shè)知識(shí)
網(wǎng)絡(luò)推廣知識(shí)
網(wǎng)絡(luò)營(yíng)銷知識(shí)
常見(jiàn)技術(shù)問(wèn)題
QQ空間
新浪微博
開(kāi)心網(wǎng)
人人網(wǎng)