诡异的RunOnce病毒启动项和神奇的URL Protocol
整理磁盘发现之前有个有趣的流氓招数忘记分享了,每次看到新鲜的东东都感慨黑暗势力的层出不穷的招数,比某些安全厂商是不是自相残杀好多了.电脑日常使用过程中我们经常输入开头为http ftp,点击诸如ed2k的链接,每个链接的背后都会执行相应的功能.如http 通过iexplore.exe,ed2k通过QQ旋风打开..这次是病毒作者利用这个特性来实现隐蔽加载病毒躲避查杀
1 相遇URL Protocol
(1) 灵异的Internat Explorer.url
去年12月远程解决一个用户问题的时候发现,第一看到httqs的时候马上就理解为https,心想https://www.baidu.com(我的猜想是这里使用百度是为了防止某些安全软件检测,大家都知道这个网站太真,太正常了)不是很正常吗?结果呢打开一个网址导航网站. 发现此q非p以后恍然大悟,看来问题就出在这个httqs,打开注册表HKEY_CLASSES_ROOT查找果然发现猫腻,最终通过IEXPLORE.EXE打开h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17导航网站
[HKEY_CLASSES_ROOT\httqs]
"URL Protocol"=""
[HKEY_CLASSES_ROOT\httqs\shell\open\command]
@="Rundll32 shell32.dll,ShellExec_RunDLLA C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE h%t%t%p%://w%w%w%.6701.c%o%m%/?12N17"
(2) 再见神奇RunOnce病毒启动项
接下来又遇到几个反复清除的问题反馈,经过检查发现这些电脑普遍都存在一个看上去不是很合理的RunOnce病毒启动项.看到ADCS:\\Windows\\system32\\debug.exe第一印象是是不是病毒作者写错了,第二印象Windows\\system32\\debug.exe(根据我的猜测这个只是为了绕过安全软件检测,因为指向的文件是正常的)这个文件是不是存在问题,但是到sys32目录下查找这个文件明明是系统文件没问题.最终依然将目光转移到ADCS:打开注册表HKEY_CLASSES_ROOT,显然最终目的是运行病毒文件D:\\RECYCLERZT1\\2.vbe
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Explorer"="Explorer ADCS:\\Windows\\system32\\debug.exe"
[HKEY_CLASSES_ROOT\ADCS]
@="目录类容器"
"URL Protocol"=""
[HKEY_CLASSES_ROOT\ADCS\explorer\open\command]
@="Rundll32 shell32.dll,ShellExec_RunDLLA D:\\RECYCLERZT1\\2.vbe"
2 URLProtocolView查看电脑中所有URL Protocol
URLProtocolView:一个小工具可以查看电脑里面所有的URL Protocols,运行URLProtocolView以后按照修改时间排列如图马上就发现可疑项目ADCS和device.
转载于:https://blog.51cto.com/hellxman/714763
诡异的RunOnce病毒启动项和神奇的URL Protocol相关推荐
- 如何添加/去掉开机的启动项
1.开始/所有程序/启动,将想加入开机启动的程序软件的图标的快捷方式放进去即可. 2.另一个办法,开始/运行输入regedit回车打开注册表编辑器,依次展开 [HKEY_LOCAL_MACHINE/S ...
- java需要打开开机启动项吗_开机启动项
[启动项目就是开机的时候系统会在前台或者后台运行的程序] 当Windows(操作系统)完成登录过程,进程表中出现了很多的进程!Windows在启动的时候,自动加载了很多程序. 许多程序的自启动,给我们 ...
- 注册表里如何添加开机启动项
添加开机启动项(通过注册表) 例子:增加QQ开机启动项 第一步:找到注册表的启动项位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVer ...
- 注册表启动项的具体位置
注册表启动项 注册表是启动程序藏身之处最多的地方,主要有以下几项: 1.Run键 Run键是病毒最青睐的自启动之所,该键位置是[HKEY_CURRENT_ USER/Software/Microsof ...
- Windows启动项
一.经典的启动--"启动"文件夹 单击"开始→程序",你会发现一个"启动"菜单,这就是最经典的Windows启动位置,右击"启动& ...
- win10启动项_科普:为什么重装Win7系统后,速度比Win10系统慢很多?
伴随着Win7系统被微软停止更新,Win10系统开始逐渐成为主流.目前市面上的大部分电脑都是预装Win10系统家庭版,虽然功能可能并不是很强大,但还是可以满足日常的使用需求.但还有不少用户会将Win1 ...
- 安装win7系统不能开机启动服务器,win7系统开机启动项不能加载的原因分析及解决...
开机启动项是每台电脑都有的东西,就是多和少的问题的,很多人开机的时候喜欢加载很多的启动项,其实这也没什么不好的.现在的电脑为了受到更好的保护,往往在开机的时候就加载了一些启动项,如:杀毒软件,安全卫士 ...
- 计算机上没有启动程序怎么办,Win7开机不加载启动项怎么办
现在的电脑为了受到更好的保护,往往在开机的时候就加载了一些启动项,如:杀毒软件,安全卫士等等.可有时候会发现,在Win7操作系统中,安装后发现不能开机加载启动项.在注册表中,在msconfig中,在& ...
- Linux minilogd占用内存过高及开机启动项修改
minilogd: 今天发现一台服务起的内存正常占用应该在70左右,但是内存占用却到了90%以上,用top查看发现minilogd占用了30%左右的内存,是不符合预期的,查看开机启动项并无minilo ...
最新文章
- 未来,AI可用于5G网络分析
- linux screen 配置(下标高亮)
- 【超详细】思科实验模拟器EVE的安装与使用,附下载链接
- java 报500该怎么解决_关于servlet500错误 应该怎么解决
- Android studio | Unused import statement
- 关于纠正2009年12月22日的总结的position的absolute.relative用法
- mysql备份更换存储引擎_mysql数据库innodb存储引擎备份脚本
- Windows新终端中玩转ASCII和Emoji游戏的正确姿势
- 使用matlab播放特定频率的声音
- c语言因为是汇编语言的一种,. C语言是一种(). A.机器语言B.汇编语言C.中级语言D.高...
- CSS定位属性(position)
- 2018腾讯内部转岗面试题2——打印A-Z 26个字母的所有子集
- 游戏机制新设计工具(Machinations)工作原理
- 如何利用图像识别、语音识别、文本挖掘做好鉴黄?
- mysql备份之lvm
- ue4 visual studio 好用的插件Visual AssistX 10.9.2301.0 破解版
- java 串口通信读取电子秤
- Hudi Timeline简析
- 微信小程序图片根据屏幕比例缩放
- 2022鹏业安装算量软件10大常见问题整理