木马分析:伪装成右键点击无“删除”选项的IE图标

原创 2012年03月27日 18:08:25

样本下载链接:http://download.csdn.net/detail/cs08211317dn/4177398


一.           大致描述:

1.      样本名称:成人情色播放器300元钱.exe

2.      家族名: Trojan.Win32.StartPage.asdy(卡巴斯基)

3.      MD5:3B1CDF2BC6576629E93DC6C5D6B12C21

4.      技术细节大致描述: 木马将系统的“搜索结果”伪装成无法删除的IE图标,指向恶意网址;并且隐藏真正的IE图标。

5.      样本运行后现象:

点击桌面IE图标,弹出以下网页:


右击桌面图标,发现此图标没有“删除”选项,仅有“打开”、“属性”和“创建快捷方式”三个选项。截图如下:

二.      技术细节

1.      进程成人情色播放器300元钱.exe创建文件C:\Program Files\Common Files\iexplore.exe

2.      进程成人情色播放器300元钱.exe修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-  83f2-00a0c90dc849}\Shell\Open(&O)\Command的值为C:\Program Files\CommonFiles\iexplore.exe %1                      h%t%t%p:%//%w%w%w.%13%16%10%12%16%16.%c%o%m/?%10;修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\Shell\属性(&R)\Command的值为rundll32.exeshell32.dll,Control_RunDLL inetcpl.cpl,,0,以给恶意IE图标增加鼠标右键菜单。修改后的注册表项截图如下:



3.       进程成人情色播放器300元钱.exe修改修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\DefaultIcon的值为C:\Program Files\CommonFiles\iexplore.exe,以将恶意IE图标的图标伪装成IE图标。

4.      进程成人情色播放器300元钱.exe修改修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\Attributes的值为0,此时桌面上出现如下伪IE图标:

因为之前修改了图标,如果未修改图标,直接修改以上注册表项,桌面上将出现以下图标:

5.      进程成人情色播放器300元钱.exe修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}的值为0x00000001(1),以达到windows为经典主题时,隐藏桌面IE图标的目的,截图如下:


进程成人情色播放器300元钱.exe修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}的值为0x00000001(1),以达到隐藏桌面IE图标的目的。

   

三.     手杀方案

1.      删除注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\Shell

2.      修复注册表项:

(1)修改注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu\{871C5380-42A0-1069-A2EA-08002B30309D}和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel\{871C5380-42A0-1069-A2EA-08002B30309D}的值为0。

(2)修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\DefaultIcon的值为%SystemRoot%\system32\SHELL32.dll,-134。

(3)修改注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}\ShellFolder\Attributes的值为20180000。(此值可能不唯一)

3.      删除文件成人情色播放器300元钱.exe、C:\ProgramFiles\Internet Explorer\iexplore.exe、C:\WINDOWS\RegText.reg。  





相关文章推荐

关于无边框EXE程序窗口嵌入IE浏览器WebBrowser右键属性窗口无法点击响应问题的解决

好久没写博客了,今天有空写点。最近遇到个问题,就是我有一个Delphi写的exe程序,主窗口没有边框(Style=bsNone),标题和边框都是自己画的,然后我嵌了一个TWebBrowser浏览器,一...
  • huzgd
  • huzgd
  • 2015年12月29日 15:32
  • 1779

下部选项卡使用的图标,点击时改变颜色.css雪碧图

手机App的一般的选项卡都是几个图标。点击切换时颜色改变,如果要一个个的通过img把图片引进来,然后使用js写点击时改变图的src,这样真的太复杂了,那么能不能只需要css就可以实现我们想要的效果呢》...

点击处可解决Windows7的ie图标

  • 2012年04月04日 15:58
  • 1KB
  • 下载

仿微信聊天界面点击底部+图标弹出相应选项

本文想要实现的简单效果如下:           以下是如何具体实现的相关部分代码:     main.xml: ...

IE11无法打开网页,一片空白,Internet选项灰色无法点击的问题

【2016年6月4日 星期六】 【问题解决】 参考百度知道: http://zhidao.baidu.com/question/2201573055406154108.html?from=co...

js 实现 点击鼠标右键到指定页

  • 2010年03月31日 11:30
  • 404B
  • 下载
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:木马分析:伪装成右键点击无“删除”选项的IE图标
举报原因:
原因补充:

(最多只允许输入30个字)