安全技术 - 木马篡改桌面图标的典型行为

一、桌面假IE

 http://bbs.ikaka.com/showtopic-8682001.aspx

二、Trojan/Win32.StartPage.cjh[Clicker]

http://www.antiy.com/cn/security/2009/r091230_001.htm

三、双IE图标删除不了研究|彻底解决办法|中毒桌面IE删除不了的原理

http://hi.baidu.com/znhygsd/blog/item/3a1cce1b4abad9f0ae5133ce.html

=======================================================================

一、桌面假IE的现象有:

1、桌面有一个IE类似这些图:，表面上与正常的IE（不分IE6或IE7）没有区别，但是当双击打开之后，浏览的却不是用户设置的首页。
2、右键——没有删除，并且使用粉碎工具都无法删除。
3、修改注册表权限的行为。
将[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace]注册表下自身创建的CLSID设置为everone只读权限，使用户在手动添加权限之前，不能删除该项。






下面用样本行为说明：
附件是一个修改IE的流氓程序的两个注册表行为：
行为一：

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}]
"InfoTip"="@shdoclc.dll,-880"
"LocalizedString"="@shdoclc.dll,-880"
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/DefaultIcon]
@=hex(2):73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,6c,00,6c,00,2c,/
  00,30,00,00,00
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/InProcServer32]
@="%SystemRoot%//system32//shdocvw.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/shell]
@="打开主页(&H)"
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/shell/属性(&R)]
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/shell/属性(&R)/Command]
@="rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl,,0"
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/shell/打开主页(&H)]
"MUIVerb"="@shdoclc.dll,-10241"
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/shell/打开主页(&H)/Command]
@="C://Program Files//Internet Explorer//iexplore.exe http://%%77%%77%%77%%2E%%36%%34%%38%%31%%31%%2E%%63%%6F%%6D"
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/ShellFolder]
"HideFolderVerbs"=""
"WantsParsDisplayName"=""
"HideOnDesktopPerUser"=""
"Attributes"=dword:00000000


红色部分是病毒修改的，打开首页就会浏览恶意网页
病毒仿造正常的CLSID：
HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}
伪造的CLSID与正常{871C5380-42A0-1069-A2EA-08002B30309D}的属性不同的就是蓝色部分：
"Attributes"=dword:00000000

经过对比，当"Attributes"为十六进制的00000000时，代表“无敌”（没有删除选项），而正常的"Attributes"的属性是十六进制的00000024时，右键有删除选项


病毒在桌面上创建的假IE的desktop注册表项：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}]
@="MSXML60"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{1f4de370-d627-11d1-ba4f-00a0c91eedba}]
@="Computer Search Results Folder"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{450D8FBA-AD25-11D0-98A8-0800361B1103}]
@=""
"Removal Message"="@mydocs.dll,-900"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{645FF040-5081-101B-9F08-00AA002F954E}]
@="Recycle Bin"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]
@="Search Results Folder"


附件中的样本没有“3、修改注册表权限的行为。”，所以用户可以手动删除。


个人的修复建议是：

因为病毒创建的假CLSID名称并不需要固定，也就是说可以随便更改的，所以建议卡卡助手首先检查这里：

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace]

将得到的CLSID在这里对比：
HKEY_CLASSES_ROOT/CLSID
如果匹配，则检查是否有假IE的特征，然后将这C://Program Files//Internet Explorer//iexplore.exe后面的网址删除。

[HKEY_CLASSES_ROOT/CLSID/{XXXXXXXXXXXXXXXXXXXX}/shell/打开主页(&H)/Command]
@="C://Program Files//Internet Explorer//iexplore.exe

[HKEY_CLASSES_ROOT/CLSID/{XXXXXXXXXXXXXXXXXXXXXX}/ShellFolder]
"HideFolderVerbs"=""
"WantsParsDisplayName"=""
"HideOnDesktopPerUser"=""
"Attributes"=dword:00000000

"Attributes"=dword:00000000更改回："Attributes"=dword:00000024

然后修复这里：


HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons
将这里的：{871C5380-42A0-1069-A2EA-08002B30309D}值改回0（修复显示正常的IE）

还有[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace]

因为大部分假IE图标会修改这项的下面病毒创建的CLSID权限为everyone只读，所以，希望卡卡注意这个情况。

附件提供一个模拟假IE的批处理：


类似帖子:http://hi.baidu.com/znhygsd/blog/item/3a1cce1b4abad9f0ae5133ce.html

 

二、

Trojan/Win32.StartPage.cjh[Clicker]分析

出处：安天实验室 时间：2009年12月30日 

病毒标签

 

病毒名称： Trojan/Win32.StartPage.cjh[Clicker]
病毒类型： 木马下载器
文件 MD5： 99F07A9F65C02CA475C5A9FE80A82265
公开范围： 完全公开
危害等级： 4
文件长度： 88,576 字节
感染系统： Windows98以上版本
开发工具： Microsoft Visual C++ 6.0
加壳类型： UPX

病毒描述

 

    该恶意代码文件为恶意广告类木马，病毒运行后创建注册表项，弹出消息框（检测到您的系统设置与播放器有冲突！请点击桌面高清电影开始激情体验）的提示，调用iexplore.exe弹出一个广告连接网址，遍历C:/Documents and Settings/a/「开始」菜单/程序目录下是否存在*.url、*.lnk文件，如有则删除，创建一个Internet Explorer快捷方式到该目录下修改目标位置为："C:/Program Files/Internet Explorer/IEXPLORE.EXE" http://www.74***.com/?zzp使其打开时弹出指定的广告网址，创建多个*.url、*.lnk文件快捷方式到桌面，添加多个广告网址到IE浏览器的收藏夹内，修改注册表隐藏桌面上的Internet Explorer浏览器的右键菜单项，修改360安全浏览器的配置文件改为病毒指定的广告网址，试图创建修改%Documents and Settings%/a/Application Data/文件夹内的火狐浏览器、TT浏览器的配置文件的主页改为病毒指定的广告地址，创建多个.ico文件图标到%System32%目录下来设置病毒在桌面创建的.lnk文件的图标，修改注册表项创建3个.lnk文件到桌面使其无法正常删除。

行为分析-本地行为

 

1、弹出消息框（检测到您的系统设置与播放器有冲突！请点击桌面高清电影开始激情体验）的提示，调用iexplore.exe弹出一个广告连接网址：http://tc.***.cn，遍历C:/Documents and Settings/a/「开始」菜单/程序目录下是否存在*.url、*.lnk文件，如有则删除

2、文件运行后会释放以下文件
%System32%/was3v.exe （随机病毒名）
%Documents and Settings%/当前所在用户/Local Settings/Temp/~32964.exe （随机病毒名）

3、修改、添加注册表项
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}
/shell/OpenHomePage/Command/@
新: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe http://www.74***.com/?zzp"
旧: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe".
描述：修改iexplore.exe使其打开后自动弹出广告网址

HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/RunOnceComplete
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/RunOnceHasShown
值: DWORD: 1 (0x1)
描述：去掉IE7启动页http://run****.msn.com/runonce3.aspx

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/FileExts/.lnk/OpenWithP
rogids/lnkfile
值: <值未设置>
描述：修改快捷方式lnk打开方式

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/ClassicStartMenu/{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/NewStartPanel/{871C5380-42A0-1069-A2EA-08002B30309D}
值: DWORD: 1 (0x1)
描述：添加注册表隐藏桌面上的IE图标

HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4}
/InProcServer32/@
值: 字符串: "%SystemRoot%/system32/shdocvw.dll"
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4}
/shell/Open/@
值: 字符串: "打开主页(&H)"
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4}
/shell/Open/Command/@
值: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe h%t%t%p%:%/%/%1w%4w%8w%.%17%
14%24%24%93%.%1c%2o%5m%/%?%3z%3z%3p"
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4}
/shell/Open/Command/@
值: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe h%t%t%p%:%/%/%1w%4w%8w%.%17%
14%24%24%93%.%1c%2o%5m%/%?%3z%3z%3p"
描述：创建注册表设置文件右键打开菜单项

HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4}/ShellFolder/HideFolderVerbs
值: <值未设置>
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4}/ShellFolder/HideOnDesktopPerUser
值: <值未设置>
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4}/ShellFolder/WantsParseDisplayName
值: <值未设置>

HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{2857FA48-876F-43a8-816F-7DD376B61039}/ShellFolder/HideFolderVerbs
值: <值未设置>
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{2857FA48-876F-43a8-816F-7DD376B61039}/ShellFolder/HideOnDesktopPerUser
值: <值未设置>
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{2857FA48-876F-43a8-816F-7DD376B61039}/ShellFolder/WantsParseDisplayName
值: <值未设置>

HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{2857FA48-876F-43a8-816F-7DD376B61039}/shell/Open/Command/@
值: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe h%t%t%p%:%/%/%6w%6w%6w%.%6n%63%65%.%6c%6n%:%28%70%58%40%/"
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{2857FA48-876F-43a8-816F-7DD376B61039}/shell/Open/@
值: 字符串: "打开(&H)"
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/shell/Open/Command/@
值: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe h%t%t%p%:%/%/%6t.%6m%63%62%.%6c%6n%/"
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/shell/Open/@
值: 字符串: "打开(&H)"
描述：创建注册表设置文件右键打开菜单项

HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/InProcServer32/@
值: 字符串: "%SystemRoot%/system32/shdocvw.dll"
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/ShellFolder/HideFolderVerbs
值: <值未设置>
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/ShellFolder/HideOnDesktopPerUser
值: <值未设置>
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/ShellFolder/WantsParseDisplayName
值: <值未设置>
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{13572CC5-79CB-4eff-AFB1-556728C24CC4}/
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{2857FA48-876F-43a8-816F-7DD376B61039}/
描述：创建注桌面3个CLSID值图标

4、创建一个Internet Explorer快捷方式到该目录下修改目标位置为："C:/Program Files/Internet Explorer/IEXPLORE.EXE" http://www.74***.com/?zzp使其打开时弹出指定的广告网址，创建多个*.url、*.lnk文件快捷方式到桌面，添加多个广告网址到IE浏览器的收藏夹内，修改注册表隐藏桌面上的Internet Explorer浏览器的右键菜单项，修改360安全浏览器的配置文件改为病毒指定的广告网址，试图创建修改%Documents and Settings%/a/Application Data/文件夹内的火狐浏览器、TT浏览器的配置文件的主页改为病毒指定的广告地址。

行为分析-网络行为

 

协议：TCP
端口：80
域名：http://tc.***.cn 
描述：运行后自动弹出网页连接以上地址

注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
         %Windir% 　　　　　 　　　　　 WINDODWS所在目录
         %DriveLetter%　 　　　　　　　 逻辑驱动器根目录 
         %ProgramFiles%　 　 　　　　　 系统程序默认安装目录 
         %HomeDrive% 　　　　　　　　　 当前启动的系统的所在分区 
         %Documents and Settings% 　　　当前用户文档根目录 
         %Temp% 　　　　　　　　　　　　/Documents and Settings/当前用户/Local Settings/Temp 
         %System32% 　　　　　　　　　　系统的 System32文件夹 

         Windows2000/NT中默认的安装路径是C:/Winnt/System32 
         windows95/98/me中默认的安装路径是%WINDOWS%/System 
         windowsXP中默认的安装路径是%system32%

---

清除方案

 

1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。
2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
推荐使用ATool管理工具，请点击下载(http://www.antiy.com/cn/download/index.htm)。

（1）进入安全模式下

（2）强行删除病毒衍生的文件
%System32%/viebu4icon.ico
%System32%/diricon.ico
%System32%/mensdyicon.ico
%Documents and Settings%/All Users/桌面/Internet Explorer.lnk
%Documents and Settings%/All Users/桌面/创业投资好项目.url
%Documents and Settings%/All Users/「开始」菜单/程序/Internet Explorer.lnk
%Documents and Settings%/All Users/「开始」菜单/Internet Explorer.lnk
%Documents and Settings%/当前所在用户/「开始」菜单/程序/Internet Explorer.lnk
%Documents and Settings%/当前所在用户/「开始」菜单/Internet Explorer.lnk
%Documents and Settings%/当前所在用户/Favorites/网址大全.url
%Documents and Settings%/当前所在用户/Favorites/精彩小游戏.url
%Documents and Settings%/当前所在用户/Favorites/不死高清电影.url

（3）删除病毒添加的注册表项
HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}
/shell/OpenHomePage/Command/@
新: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe http://www.74443.com/?zzp"
旧: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe".
恢复病毒修改的注册表项

HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/RunOnceComplete
值: DWORD: 1 (0x1)
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/RunOnceHasShown
值: DWORD: 1 (0x1)
删除以上添加的注册表项

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/ClassicStartMenu/{871C5380-42A0-1069-A2EA-08002B30309D}
删除ClassicStartMenu键值下的{871C5380-42A0-1069-A2EA-08002B30309D}键

HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4}
删除CLSID键值下的{13572CC5-79CB-4eff-AFB1-556728C24CC4}、{2857FA48-876F-43a8-816F-7DD376B61039}、{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}键

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/
删除NameSpace键下的
{2857FA48-876F-43a8-816F-7DD376B61039}、{13572CC5-79CB-4eff-AFB1-556728C24CC4}、{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}键

修复IE桌面图标将以下代码保存为.reg文件双击导入注册表即可：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}]
"InfoTip"=hex(2):40,00,73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,/
6c,00,6c,00,2c,00,2d,00,38,00,38,00,31,00,00,00
"LocalizedString"=hex(2):40,00,73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,/
64,00,6c,00,6c,00,2c,00,2d,00,38,00,38,00,30,00,00,00

[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/DefaultIcon]
@=hex(2):73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,6c,00,6c,00,2c,/
00,2d,00,31,00,39,00,30,00,00,00

[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/InProcServer32]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,/
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,/
64,00,6f,00,63,00,76,00,77,00,2e,00,64,00,6c,00,6c,00,00,00
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell]
@="OpenHomePage"

[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage]
@="打开主页(&H)"
"MUIVerb"="@shdoclc.dll,-10241"

[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command]
@="/"C://Program Files//Internet Explorer//iexplore.exe/""

[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/ShellFolder]
"Attributes"=dword:00000024
"HideFolderVerbs"=""
"WantsParseDisplayName"=""
"HideOnDesktopPerUser"=""

注意：（病毒添加的注册表项、有权限设置如果提示无法删除请鼠标右键单击权限将Everyone用户添加进去给予完全控制打钩即可删除）