作品发布     邀请码    设为首页  收藏 

当前位置:文章病毒 → 文章内容 >> 诡异RunOnce病毒启动项和神奇URL Protocol


诡异RunOnce病毒启动项和神奇URL Protocol

更新时间:2011-5-8 3:33:34   作者:华中帝国整理  来源:华中帝国
  整理磁盘发现之前有个有趣的流氓招数忘记分享了,每次看到新鲜的东东都感慨黑暗势力层出不穷的招数。
  整理磁盘发现之前有个有趣的流氓招数忘记分享了,每次看到新鲜的东东都感慨黑暗势力层出不穷的招数。电脑日常使用过程中我们经常输入开头为http、ftp,点击诸如ed2k的链接,每个链接的背后都会执行相应的功能,如http通过iexplore.exe,ed2k通过qq旋风打开……这次是病毒作者利用这个特性来实现隐蔽加载病毒躲避查杀。
  1.相遇URL Protocol
  (1)灵异的Internat Explorer.url
  去年12月远程解决一个用户问题的时候发现,第一看到httqs的时候马上就理解为https,心想https://www.baidu.com(我的猜想是,这里使用百度是为了防止某些安全软件检测,大家都知道这个网站太真,太正常了)不是很正常吗?结果却打开了一个网址导航网站。发现此q非p以后恍然大悟,看来问题就出在这个httqs。打开注册表HKEY_CLASSES_ROOT查找果然发现猫腻,最终通过IEXPLORE.EXE打开h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17导航网站。
  [HKEY_CLASSES_ROOT\httqs]
  "URL Protocol"=""
  [HKEY_CLASSES_ROOT\httqs\shell\open\command]
  @="Rundll32 shell32.dll,ShellExec_RunDLLA C:\\Program Files\\Internet
  Explorer\\IEXPLORE.EXE h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17"
  (2)再见神奇RunOnce病毒启动项
  接下来又遇到几个反复清除的问题反馈,经过检查发现这些电脑普遍都存在一个看上去不是很合理的RunOnce病毒启动项。看到ADCS:\\Windows\\system32\\debug.exe第一印象是“是不是病毒作者写错了”,第二印象Windows\\system32\\debug.exe(根据我的猜测,这只是为了绕过安全软件检测,因为指向的文件是正常的)这个文件是不是存在问题,但是到sys32目录下查找这个文件明明是系统文件没问题。最终依然将目光转移到ADCS:打开注册表HKEY_CLASSES_ROOT,显然最终目的是运行病毒文件D:\\RECYCLERZT1\\2.vbe。
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
  "Explorer"="Explorer ADCS:\\Windows\\system32\\debug.exe"
  [HKEY_CLASSES_ROOT\ADCS]
  @="目录类容器"
  "URL Protocol"=""
  [HKEY_CLASSES_ROOT\ADCS\explorer\open\command]
  @="Rundll32 shell32.dll,ShellExec_RunDLLA  D:\\RECYCLERZT1\\2.vbe"
  2.URLProtocolView查看电脑中所有URL Protocol
  URLProtocolView:一个小工具,可以查看电脑里面所有的URL Protocols,运行URLProtocolView以后按照修改时间排列如图,马上就发现可疑项目ADCS和device。

   免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

责任编辑:华中帝国        



本文引用网址: 

诡异RunOnce病毒启动项和神奇URL Protocol的相关文章
发表评论

用户名: 查看更多评论

分 值:100分 85分 70分 55分 40分 25分 10分 0分

内 容:

         (注“”为必填内容。) 验证码: 验证码,看不清楚?请点击刷新验证码