整理磁盘发现之前有个有趣的流氓招数忘记分享了,每次看到新鲜的东东都感慨黑暗势力层出不穷的招数。电脑日常使用过程中我们经常输入开头为http、ftp,点击诸如ed2k的链接,每个链接的背后都会执行相应的功能,如http通过iexplore.exe,ed2k通过QQ旋风打开……这次是病毒作者利用这个特性来实现隐蔽加载病毒躲避查杀。
1.相遇URL Protocol
(1)灵异的Internat Explorer.url
去年12月远程解决一个用户问题的时候发现,第一看到httqs的时候马上就理解为https,心想https://www.baidu.com(我的猜想是,这里使用百度是为了防止某些安全软件检测,大家都知道这个网站太真,太正常了)不是很正常吗?结果却打开了一个网址导航网站。发现此q非p以后恍然大悟,看来问题就出在这个httqs。打开注册表HKEY_CLASSES_ROOT查找果然发现猫腻,最终通过IEXPLORE.EXE打开h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17导航网站。
[HKEY_CLASSES_ROOThttqs] "URL Protocol"="" [HKEY_CLASSES_ROOThttqsshellopencommand] @="Rundll32 shell32.dll,ShellExec_RunDLLA C:Program FilesInternet ExplorerIEXPLORE.EXE h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17" |
(2)再见神奇RunOnce病毒启动项
接下来又遇到几个反复清除的问题反馈,经过检查发现这些电脑普遍都存在一个看上去不是很合理的RunOnce病毒启动项。看到ADCS:Windowssystem32debug.exe第一印象是“是不是病毒作者写错了”,第二印象Windowssystem32debug.exe(根据我的猜测,这只是为了绕过安全软件检测,因为指向的文件是正常的)这个文件是不是存在问题,但是到sys32目录下查找这个文件明明是系统文件没问题。最终依然将目光转移到ADCS:打开注册表HKEY_CLASSES_ROOT,显然最终目的是运行病毒文件D:RECYCLERZT12.vbe。
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce] "Explorer"="Explorer ADCS:Windowssystem32debug.exe" [HKEY_CLASSES_ROOTADCS] @="目录类容器" "URL Protocol"="" [HKEY_CLASSES_ROOTADCSexploreropencommand] @="Rundll32 shell32.dll,ShellExec_RunDLLA D:RECYCLERZT12.vbe" |
2.URLProtocolView查看电脑中所有URL Protocol
URLProtocolView:一个小工具,可以查看电脑里面所有的URL Protocols,运行URLProtocolView以后按照修改时间排列如图,马上就发现可疑项目ADCS和device。
