诡异的RunOnce病毒启动项和神奇的URL Protocol

整理磁盘发现之前有个有趣的流氓招数忘记分享了,每次看到新鲜的东东都感慨黑暗势力的层出不穷的招数,比某些安全厂商是不是自相残杀好多了.电脑日常使用过程中我们经常输入开头为http ftp,点击诸如ed2k的链接,每个链接的背后都会执行相应的功能.如http 通过iexplore.exe,ed2k通过QQ旋风打开..这次是病毒作者利用这个特性来实现隐蔽加载病毒躲避查杀

1 相遇URL Protocol

   
 

  (1) 灵异的Internat Explorer.url

     去年12月远程解决一个用户问题的时候发现,第一看到httqs的时候马上就理解为https,心想https://www.baidu.com(我的猜想是这里使用百度是为了防止某些安全软件检测,大家都知道这个网站太真,太正常了)不是很正常吗?结果呢打开一个网址导航网站. 发现此q非p以后恍然大悟,看来问题就出在这个httqs,打开注册表HKEY_CLASSES_ROOT查找果然发现猫腻,最终通过IEXPLORE.EXE打开h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17导航网站

 

[HKEY_CLASSES_ROOT\httqs]
"URL Protocol"=""

[HKEY_CLASSES_ROOT\httqs\shell\open\command]
@="Rundll32 shell32.dll,ShellExec_RunDLLA C:\\Program Files\\Internet Explorer\\IEXPLORE.EXEh%t%t%p%://w%w%w%.6701.c%o%m%/?12N17"

 

(2) 再见神奇RunOnce病毒启动项

    接下来又遇到几个反复清除的问题反馈,经过检查发现这些电脑普遍都存在一个看上去不是很合理的RunOnce病毒启动项.看到ADCS:\\Windows\\system32\\debug.exe第一印象是是不是病毒作者写错了,第二印象Windows\\system32\\debug.exe(根据我的猜测这个只是为了绕过安全软件检测,因为指向的文件是正常的)这个文件是不是存在问题,但是到sys32目录下查找这个文件明明是系统文件没问题.最终依然将目光转移到ADCS:打开注册表HKEY_CLASSES_ROOT,显然最终目的是运行病毒文件D:\\RECYCLERZT1\\2.vbe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Explorer"="Explorer ADCS:\\Windows\\system32\\debug.exe"

[HKEY_CLASSES_ROOT\ADCS]
@="目录类容器"
"URL Protocol"=""
[HKEY_CLASSES_ROOT\ADCS\explorer\open\command]
@="Rundll32 shell32.dll,ShellExec_RunDLLA  D:\\RECYCLERZT1\\2.vbe"
 

 

 

2 URLProtocolView查看电脑中所有URL Protocol

   URLProtocolView:一个小工具可以查看电脑里面所有的URL Protocols,运行URLProtocolView以后按照修改时间排列如图马上就发现可疑项目ADCS和device.