木马分析:伪装成右键点击无“删除”选项的IE图标
来源:互联网 发布:做网站的软件 编辑:程序博客网 时间:2024/06/06 13:22
样本下载链接:http://download.csdn.net/detail/cs08211317dn/4177398
一. 大致描述:
1. 样本名称:成人情色播放器300元钱.exe
2. 家族名: Trojan.Win32.StartPage.asdy(卡巴斯基)
3. MD5:3B1CDF2BC6576629E93DC6C5D6B12C21
4. 技术细节大致描述: 木马将系统的“搜索结果”伪装成无法删除的IE图标,指向恶意网址;并且隐藏真正的IE图标。
5. 样本运行后现象:
点击桌面IE图标,弹出以下网页:
右击桌面图标,发现此图标没有“删除”选项,仅有“打开”、“属性”和“创建快捷方式”三个选项。截图如下:
二. 技术细节
1. 进程成人情色播放器300元钱.exe创建文件C:\Program Files\Common Files\iexplore.exe。
2. 进程成人情色播放器300元钱.exe修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1- 83f2-00a0c90dc849}\Shell\Open(&O)\Command的值为C:\Program Files\CommonFiles\iexplore.exe %1 h%t%t%p:%//%w%w%w.%13%16%10%12%16%16.%c%o%m/?%10;修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\Shell\属性(&R)\Command的值为rundll32.exeshell32.dll,Control_RunDLL inetcpl.cpl,,0,以给恶意IE图标增加鼠标右键菜单。修改后的注册表项截图如下:
3. 进程成人情色播放器300元钱.exe修改修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\DefaultIcon的值为C:\Program Files\CommonFiles\iexplore.exe,以将恶意IE图标的图标伪装成IE图标。
4. 进程成人情色播放器300元钱.exe修改修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\Attributes的值为0,此时桌面上出现如下伪IE图标:
因为之前修改了图标,如果未修改图标,直接修改以上注册表项,桌面上将出现以下图标:
5. 进程成人情色播放器300元钱.exe修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}的值为0x00000001(1),以达到当windows为经典主题时,隐藏桌面IE图标的目的,截图如下:
进程成人情色播放器300元钱.exe修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}的值为0x00000001(1),以达到隐藏桌面IE图标的目的。
三. 手杀方案
1. 删除注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\Shell
2. 修复注册表项:
(1)修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}的值为0。
(2)修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\DefaultIcon的值为%SystemRoot%\system32\SHELL32.dll,-134。
(3)修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\Attributes的值为20180000。(此值可能不唯一)
3. 删除文件成人情色播放器300元钱.exe、C:\ProgramFiles\Internet Explorer\iexplore.exe、C:\WINDOWS\RegText.reg。
- 木马分析:伪装成右键点击无“删除”选项的IE图标
- 【木马分析】远控盗号木马伪装成850Game作恶
- 【木马分析】远控盗号木马伪装成850Game作恶
- 桌面右键弹出IE的木马
- 伪装QQ飞车外挂的“MBR锁”木马分析
- 伪装QQ飞车外挂的“MBR锁”木马分析
- 清除IE右键失效的选项
- 木马采用的伪装方法
- 关于无边框EXE程序窗口嵌入IE浏览器WebBrowser右键属性窗口无法点击响应问题的解决
- 让Google伪装你的木马地址
- 伪装植入木马的常见方法
- 在右键点击的菜单中添加选项的方法
- 找回已经删除的桌面ie图标
- 删除桌面上的两个IE图标
- 关于IE图标的删除。劫持
- 创建不可删除的IE快捷方式图标
- 创建不可删除的IE快捷方式图标
- win7桌面的IE图标删除
- Linux软件安装通用思路
- 数据库替代国际化资源文件
- C#接口
- Session会话关闭
- Oracle创建删除用户、角色、表空间、导入导出、...命令总结
- 木马分析:伪装成右键点击无“删除”选项的IE图标
- java_MySql带单引号的查询的解决方案
- xCode语法高亮消失解决办法
- 九型人格在招聘中的应用策略
- Hadoop Namenode HA 合并到主干
- 适合linux的字典
- 关于Jquery中ajax方法data参数用法的总结http://www.cnblogs.com/tim190/archive/2010/10/20/1856523.html
- Hash学习(3)-冲突的解决
- 维护SQLSERVER数据库的关键技巧
