Top
首页 > 网络和信息安全 > 病毒木马 > 正文

诡异RunOnce病毒启动项和神奇URL Protocol

诡异RunOnce病毒启动项

电脑日常使用过程中我们经常输入开头为http、ftp,点击诸如ed2k的链接,每个链接的背后都会执行相应的功能,如http通过iexplore.exe,ed2k通过QQ旋风打开……这次是病毒作者利用这个特性来实现隐蔽加载病毒躲避查杀
发布时间:2011-04-06 05:57        来源:        作者:孤客
【赛迪网-IT技术讯】整理磁盘发现之前有个有趣的流氓招数忘记分享了,每次看到新鲜的东东都感慨黑暗势力层出不穷的招数。电脑日常使用过程中我们经常输入开头为http、ftp,点击诸如ed2k的链接,每个链接的背后都会执行相应的功能,如http通过iexplore.exe,ed2k通过QQ旋风打开……这次是病毒作者利用这个特性来实现隐蔽加载病毒躲避查杀。 1.相遇URL Protocol (1)灵异的Internat Explorer.url 去年12月远程解决一个用户问题的时候发现,第一看到httqs的时候马上就理解为https,心想https://www.baidu.com(我的猜想是,这里使用百度是为了防止某些安全软件检测,大家都知道这个网站太真,太正常了)不是很正常吗?结果却打开了一个网址导航网站。发现此q非p以后恍然大悟,看来问题就出在这个httqs。打开注册表HKEY_CLASSES_ROOT查找果然发现猫腻,最终通过IEXPLORE.EXE打开h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17导航网站。

[HKEY_CLASSES_ROOT\httqs]
"URL Protocol"=""

[HKEY_CLASSES_ROOT\httqs\shell\open\command]
@="Rundll32 shell32.dll,ShellExec_RunDLLA C:\\Program Files\\Internet 
Explorer\\IEXPLORE.EXE h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17"
(2)再见神奇RunOnce病毒启动项 接下来又遇到几个反复清除的问题反馈,经过检查发现这些电脑普遍都存在一个看上去不是很合理的RunOnce病毒启动项。看到ADCS:\\Windows\\system32\\debug.exe第一印象是“是不是病毒作者写错了”,第二印象Windows\\system32\\debug.exe(根据我的猜测,这只是为了绕过安全软件检测,因为指向的文件是正常的)这个文件是不是存在问题,但是到sys32目录下查找这个文件明明是系统文件没问题。最终依然将目光转移到ADCS:打开注册表HKEY_CLASSES_ROOT,显然最终目的是运行病毒文件D:\\RECYCLERZT1\\2.vbe。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Explorer"="Explorer ADCS:\\Windows\\system32\\debug.exe"

[HKEY_CLASSES_ROOT\ADCS]
@="目录类容器"
"URL Protocol"=""
[HKEY_CLASSES_ROOT\ADCS\explorer\open\command]
@="Rundll32 shell32.dll,ShellExec_RunDLLA  D:\\RECYCLERZT1\\2.vbe"

2.URLProtocolView查看电脑中所有URL Protocol URLProtocolView:一个小工具,可以查看电脑里面所有的URL Protocols,运行URLProtocolView以后按照修改时间排列如图,马上就发现可疑项目ADCS和device。

(责编:钼铁)

加载更多

专题访谈

合作站点
stat