诡异的RunOnce病毒启动项和神奇的URL Protocol
来源:互联网 发布:mina接收数据 编辑:程序博客网 时间:2024/05/05 23:13
整理磁盘发现之前有个有趣的流氓招数忘记分享了,每次看到新鲜的东东都感慨黑暗势力的层出不穷的招数,比某些安全厂商是不是自相残杀好多了.电脑日常使用过程中我们经常输入开头为http ftp,点击诸如ed2k的链接,每个链接的背后都会执行相应的功能.如http 通过iexplore.exe,ed2k通过QQ旋风打开..这次是病毒作者利用这个特性来实现隐蔽加载病毒躲避查杀
1 相遇URL Protocol
(1) 灵异的Internat Explorer.url
去年12月远程解决一个用户问题的时候发现,第一看到httqs的时候马上就理解为https,心想https://www.baidu.com(我的猜想是这里使用百度是为了防止某些安全软件检测,大家都知道这个网站太真,太正常了)不是很正常吗?结果呢打开一个网址导航网站. 发现此q非p以后恍然大悟,看来问题就出在这个httqs,打开注册表HKEY_CLASSES_ROOT查找果然发现猫腻,最终通过IEXPLORE.EXE打开h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17导航网站
[HKEY_CLASSES_ROOT\httqs]
"URL Protocol"=""
[HKEY_CLASSES_ROOT\httqs\shell\open\command]
@="Rundll32 shell32.dll,ShellExec_RunDLLA C:\\Program Files\\Internet Explorer\\IEXPLORE.EXEh%t%t%p%://w%w%w%.6701.c%o%m%/?12N17"
(2) 再见神奇RunOnce病毒启动项
接下来又遇到几个反复清除的问题反馈,经过检查发现这些电脑普遍都存在一个看上去不是很合理的RunOnce病毒启动项.看到ADCS:\\Windows\\system32\\debug.exe第一印象是是不是病毒作者写错了,第二印象Windows\\system32\\debug.exe(根据我的猜测这个只是为了绕过安全软件检测,因为指向的文件是正常的)这个文件是不是存在问题,但是到sys32目录下查找这个文件明明是系统文件没问题.最终依然将目光转移到ADCS:打开注册表HKEY_CLASSES_ROOT,显然最终目的是运行病毒文件D:\\RECYCLERZT1\\2.vbe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Explorer"="Explorer ADCS:\\Windows\\system32\\debug.exe"
[HKEY_CLASSES_ROOT\ADCS]
@="目录类容器"
"URL Protocol"=""
[HKEY_CLASSES_ROOT\ADCS\explorer\open\command]
@="Rundll32 shell32.dll,ShellExec_RunDLLA D:\\RECYCLERZT1\\2.vbe"
2 URLProtocolView查看电脑中所有URL Protocol
URLProtocolView:一个小工具可以查看电脑里面所有的URL Protocols,运行URLProtocolView以后按照修改时间排列如图马上就发现可疑项目ADCS和device.
- 诡异的RunOnce病毒启动项和神奇的URL Protocol
- RUNONCE和RUN的区别
- IE7每次打开都启动runonce.msn.com地址的解决办法
- aix上apache启动的诡异问题
- URL Protocol Handler 的简单演示程序
- 好的事情诡异诡异诡异诡异英语
- PostQuitMessage和PeekMessage的诡异行径
- 诡异的 Carbide.c++ 和 RVCT 组合
- Android和Fragment的onActivity诡异Bug
- JavaScript 诡异的全局变量和局部变量
- 神奇的IB_DESIGNABLE和IBInspectable
- 神奇的serialize和unserialize
- 神奇的IB_DESIGNABLE和IBInspectable
- lambda和filter的神奇
- 神奇的sizeof和strlen
- 神奇的i++和++i
- 启动maven nexus3时遇到的"诡异"异常
- 诡异的启动信息:a disk read error occurred
- 五种开源协议的比较(BSD,Apache,GPL,LGPL,MIT)
- 第十章 面向对象 简答题3
- android处理加载大图片内在溢出问题
- 【二维数组】15周项目六。扫雷
- StringBuilder、StringBuffer、String区别
- 诡异的RunOnce病毒启动项和神奇的URL Protocol
- OpenGL 入门教程(八)
- ARM920T内存管理单元MMU
- 戴维·卡梅伦
- linux shell编程指南第十七章------条件测试
- 【ZJOI2008】 COUNT
- android 通话记录的查询与删除
- Zend-Framework - Full Info Disclosure
- android输入设备配置文件搜索路径