安全技术 - 木马篡改桌面图标的典型行为

最新推荐文章于 2025-03-18 20:21:48 发布

SimbaRD

最新推荐文章于 2025-03-18 20:21:48 发布

阅读量1.4k

点赞数

分类专栏：安全技术文章标签： attributes system 浏览器 c windows ie

安全技术专栏收录该内容

1 篇文章

订阅专栏

一、桌面假IE

http://bbs.ikaka.com/showtopic-8682001.aspx

二、Trojan/Win32.StartPage.cjh[Clicker]

http://www.antiy.com/cn/security/2009/r091230_001.htm

三、双IE图标删除不了研究|彻底解决办法|中毒桌面IE删除不了的原理

http://hi.baidu.com/znhygsd/blog/item/3a1cce1b4abad9f0ae5133ce.html

=======================================================================

一、桌面假IE的现象有:

1、桌面有一个IE类似这些图:，表面上与正常的IE（不分IE6或IE7）没有区别，但是当双击打开之后，浏览的却不是用户设置的首页。
2、右键——没有删除，并且使用粉碎工具都无法删除。
3、修改注册表权限的行为。
将[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace]注册表下自身创建的CLSID设置为everone只读权限，使用户在手动添加权限之前，不能删除该项。

下面用样本行为说明：
附件是一个修改IE的流氓程序的两个注册表行为：
行为一：

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}]
"InfoTip"="@shdoclc.dll,-880"
"LocalizedString"="@shdoclc.dll,-880"
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/DefaultIcon]
@=hex(2):73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,6c,00,6c,00,2c,/
00,30,00,00,00
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/InProcServer32]
@="%SystemRoot%//system32//shdocvw.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/shell]
@="打开主页(&H)"
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/shell/属性(&R)]
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/shell/属性(&R)/Command]
@="rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl,,0"
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/shell/打开主页(&H)]
"MUIVerb"="@shdoclc.dll,-10241"
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/shell/打开主页(&H)/Command]
@="C://Program Files//Internet Explorer//iexplore.exe http://%%77%%77%%77%%2E%%36%%34%%38%%31%%31%%2E%%63%%6F%%6D"
[HKEY_CLASSES_ROOT/CLSID/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}/ShellFolder]
"HideFolderVerbs"=""
"WantsParsDisplayName"=""
"HideOnDesktopPerUser"=""
"Attributes"=dword:00000000

红色部分是病毒修改的，打开首页就会浏览恶意网页
病毒仿造正常的CLSID：
HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}
伪造的CLSID与正常{871C5380-42A0-1069-A2EA-08002B30309D}的属性不同的就是蓝色部分：
"Attributes"=dword:00000000

经过对比，当"Attributes"为十六进制的00000000时，代表“无敌”（没有删除选项），而正常的"Attributes"的属性是十六进制的00000024时，右键有删除选项

病毒在桌面上创建的假IE的desktop注册表项：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{112FDC99-4915-4f6e-B11B-41370D5F9A1A}]
@="MSXML60"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{1f4de370-d627-11d1-ba4f-00a0c91eedba}]
@="Computer Search Results Folder"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{450D8FBA-AD25-11D0-98A8-0800361B1103}]
@=""
"Removal Message"="@mydocs.dll,-900"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{645FF040-5081-101B-9F08-00AA002F954E}]
@="Recycle Bin"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]
@="Search Results Folder"

附件中的样本没有“3、修改注册表权限的行为。”，所以用户可以手动删除。

个人的修复建议是：

因为病毒创建的假CLSID名称并不需要固定，也就是说可以随便更改的，所以建议卡卡助手首先检查这里：

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace]

将得到的CLSID在这里对比：
HKEY_CLASSES_ROOT/CLSID
如果匹配，则检查是否有假IE的特征，然后将这C://Program Files//Internet Explorer//iexplore.exe后面的网址删除。

[HKEY_CLASSES_ROOT/CLSID/{XXXXXXXXXXXXXXXXXXXX}/shell/打开主页(&H)/Command]
@="C://Program Files//Internet Explorer//iexplore.exe

[HKEY_CLASSES_ROOT/CLSID/{XXXXXXXXXXXXXXXXXXXXXX}/ShellFolder]
"HideFolderVerbs"=""
"WantsParsDisplayName"=""
"HideOnDesktopPerUser"=""
"Attributes"=dword:00000000

"Attributes"=dword:00000000更改回："Attributes"=dword:00000024

然后修复这里：

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons
将这里的：{871C5380-42A0-1069-A2EA-08002B30309D}值改回0（修复显示正常的IE）

还有[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace]

因为大部分假IE图标会修改这项的下面病毒创建的CLSID权限为everyone只读，所以，希望卡卡注意这个情况。

附件提供一个模拟假IE的批处理：

类似帖子:http://hi.baidu.com/znhygsd/blog/item/3a1cce1b4abad9f0ae5133ce.html

二、

Trojan/Win32.StartPage.cjh[Clicker]分析
出处：安天实验室时间：2009年12月30日

病毒标签
	病毒名称： Trojan/Win32.StartPage.cjh[Clicker] 病毒类型：木马下载器文件 MD5： 99F07A9F65C02CA475C5A9FE80A82265 公开范围：完全公开危害等级： 4 文件长度： 88,576 字节感染系统： Windows98以上版本开发工具： Microsoft Visual C++ 6.0 加壳类型： UPX
病毒描述
	该恶意代码文件为恶意广告类木马，病毒运行后创建注册表项，弹出消息框（检测到您的系统设置与播放器有冲突！请点击桌面高清电影开始激情体验）的提示，调用iexplore.exe弹出一个广告连接网址，遍历C:/Documents and Settings/a/「开始」菜单/程序目录下是否存在.url、.lnk文件，如有则删除，创建一个Internet Explorer快捷方式到该目录下修改目标位置为："C:/Program Files/Internet Explorer/IEXPLORE.EXE" http://www.74**.com/?zzp使其打开时弹出指定的广告网址，创建多个.url、*.lnk文件快捷方式到桌面，添加多个广告网址到IE浏览器的收藏夹内，修改注册表隐藏桌面上的Internet Explorer浏览器的右键菜单项，修改360安全浏览器的配置文件改为病毒指定的广告网址，试图创建修改%Documents and Settings%/a/Application Data/文件夹内的火狐浏览器、TT浏览器的配置文件的主页改为病毒指定的广告地址，创建多个.ico文件图标到%System32%目录下来设置病毒在桌面创建的.lnk文件的图标，修改注册表项创建3个.lnk文件到桌面使其无法正常删除。
行为分析-本地行为
	1、弹出消息框（检测到您的系统设置与播放器有冲突！请点击桌面高清电影开始激情体验）的提示，调用iexplore.exe弹出一个广告连接网址：http://tc.**.cn，遍历C:/Documents and Settings/a/「开始」菜单/程序目录下是否存在.url、.lnk文件，如有则删除 2、文件运行后会释放以下文件 %System32%/was3v.exe （随机病毒名） %Documents and Settings%/当前所在用户/Local Settings/Temp/~32964.exe （随机病毒名） 3、修改、添加注册表项 HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D} /shell/OpenHomePage/Command/@ 新: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe http://www.74.com/?zzp" 旧: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe". 描述：修改iexplore.exe使其打开后自动弹出广告网址 HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/RunOnceComplete 值: DWORD: 1 (0x1) HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/RunOnceHasShown 值: DWORD: 1 (0x1) 描述：去掉IE7启动页http://run.msn.com/runonce3.aspx HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/FileExts/.lnk/OpenWithP rogids/lnkfile 值: <值未设置> 描述：修改快捷方式lnk打开方式 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/ClassicStartMenu/{871C5380-42A0-1069-A2EA-08002B30309D} 值: DWORD: 1 (0x1) HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/NewStartPanel/{871C5380-42A0-1069-A2EA-08002B30309D} 值: DWORD: 1 (0x1) 描述：添加注册表隐藏桌面上的IE图标 HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4} /InProcServer32/@ 值: 字符串: "%SystemRoot%/system32/shdocvw.dll" HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4} /shell/Open/@ 值: 字符串: "打开主页(&H)" HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4} /shell/Open/Command/@ 值: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe h%t%t%p%:%/%/%1w%4w%8w%.%17% 14%24%24%93%.%1c%2o%5m%/%?%3z%3z%3p" HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4} /shell/Open/Command/@ 值: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe h%t%t%p%:%/%/%1w%4w%8w%.%17% 14%24%24%93%.%1c%2o%5m%/%?%3z%3z%3p" 描述：创建注册表设置文件右键打开菜单项 HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4}/ShellFolder/HideFolderVerbs 值: <值未设置> HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4}/ShellFolder/HideOnDesktopPerUser 值: <值未设置> HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4}/ShellFolder/WantsParseDisplayName 值: <值未设置> HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{2857FA48-876F-43a8-816F-7DD376B61039}/ShellFolder/HideFolderVerbs 值: <值未设置> HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{2857FA48-876F-43a8-816F-7DD376B61039}/ShellFolder/HideOnDesktopPerUser 值: <值未设置> HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{2857FA48-876F-43a8-816F-7DD376B61039}/ShellFolder/WantsParseDisplayName 值: <值未设置> HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{2857FA48-876F-43a8-816F-7DD376B61039}/shell/Open/Command/@ 值: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe h%t%t%p%:%/%/%6w%6w%6w%.%6n%63%65%.%6c%6n%:%28%70%58%40%/" HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{2857FA48-876F-43a8-816F-7DD376B61039}/shell/Open/@ 值: 字符串: "打开(&H)" HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/shell/Open/Command/@ 值: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe h%t%t%p%:%/%/%6t.%6m%63%62%.%6c%6n%/" HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/shell/Open/@ 值: 字符串: "打开(&H)" 描述：创建注册表设置文件右键打开菜单项 HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/InProcServer32/@ 值: 字符串: "%SystemRoot%/system32/shdocvw.dll" HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/ShellFolder/HideFolderVerbs 值: <值未设置> HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/ShellFolder/HideOnDesktopPerUser 值: <值未设置> HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/ShellFolder/WantsParseDisplayName 值: <值未设置> HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/ HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{13572CC5-79CB-4eff-AFB1-556728C24CC4}/ HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{2857FA48-876F-43a8-816F-7DD376B61039}/ 描述：创建注桌面3个CLSID值图标 4、创建一个Internet Explorer快捷方式到该目录下修改目标位置为："C:/Program Files/Internet Explorer/IEXPLORE.EXE" http://www.74.com/?zzp使其打开时弹出指定的广告网址，创建多个.url、*.lnk文件快捷方式到桌面，添加多个广告网址到IE浏览器的收藏夹内，修改注册表隐藏桌面上的Internet Explorer浏览器的右键菜单项，修改360安全浏览器的配置文件改为病毒指定的广告网址，试图创建修改%Documents and Settings%/a/Application Data/文件夹内的火狐浏览器、TT浏览器的配置文件的主页改为病毒指定的广告地址。
行为分析-网络行为
	协议：TCP 端口：80 域名：http://tc.***.cn 描述：运行后自动弹出网页连接以上地址注：%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 %Windir% 　　　　　　　　　　 WINDODWS所在目录 %DriveLetter%　　　　　　　　逻辑驱动器根目录 %ProgramFiles%　　　　　　　系统程序默认安装目录 %HomeDrive% 　　　　　　　　　当前启动的系统的所在分区 %Documents and Settings% 　　　当前用户文档根目录 %Temp% 　　　　　　　　　　　　/Documents and Settings/当前用户/Local Settings/Temp %System32% 　　　　　　　　　　系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:/Winnt/System32 windows95/98/me中默认的安装路径是%WINDOWS%/System windowsXP中默认的安装路径是%system32%

清除方案
	1、使用安天防线可彻底清除此病毒(推荐)，请点击下载(http://www.antiyfx.com)。 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。推荐使用ATool管理工具，请点击下载(http://www.antiy.com/cn/download/index.htm)。（1）进入安全模式下（2）强行删除病毒衍生的文件 %System32%/viebu4icon.ico %System32%/diricon.ico %System32%/mensdyicon.ico %Documents and Settings%/All Users/桌面/Internet Explorer.lnk %Documents and Settings%/All Users/桌面/创业投资好项目.url %Documents and Settings%/All Users/「开始」菜单/程序/Internet Explorer.lnk %Documents and Settings%/All Users/「开始」菜单/Internet Explorer.lnk %Documents and Settings%/当前所在用户/「开始」菜单/程序/Internet Explorer.lnk %Documents and Settings%/当前所在用户/「开始」菜单/Internet Explorer.lnk %Documents and Settings%/当前所在用户/Favorites/网址大全.url %Documents and Settings%/当前所在用户/Favorites/精彩小游戏.url %Documents and Settings%/当前所在用户/Favorites/不死高清电影.url （3）删除病毒添加的注册表项 HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D} /shell/OpenHomePage/Command/@ 新: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe http://www.74443.com/?zzp" 旧: 字符串: "C:/Program Files/Internet Explorer/iexplore.exe". 恢复病毒修改的注册表项 HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/RunOnceComplete 值: DWORD: 1 (0x1) HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/RunOnceHasShown 值: DWORD: 1 (0x1) 删除以上添加的注册表项 HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/HideDesktopIcons/ClassicStartMenu/{871C5380-42A0-1069-A2EA-08002B30309D} 删除ClassicStartMenu键值下的{871C5380-42A0-1069-A2EA-08002B30309D}键 HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{13572CC5-79CB-4eff-AFB1-556728C24CC4} 删除CLSID键值下的{13572CC5-79CB-4eff-AFB1-556728C24CC4}、{2857FA48-876F-43a8-816F-7DD376B61039}、{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}键 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}/ 删除NameSpace键下的 {2857FA48-876F-43a8-816F-7DD376B61039}、{13572CC5-79CB-4eff-AFB1-556728C24CC4}、{3AB38311-B5EE-40cc-9E42-69E50B3EF32D}键修复IE桌面图标将以下代码保存为.reg文件双击导入注册表即可： Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}] "InfoTip"=hex(2):40,00,73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,/ 6c,00,6c,00,2c,00,2d,00,38,00,38,00,31,00,00,00 "LocalizedString"=hex(2):40,00,73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,/ 64,00,6c,00,6c,00,2c,00,2d,00,38,00,38,00,30,00,00,00 [HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/DefaultIcon] @=hex(2):73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,6c,00,6c,00,2c,/ 00,2d,00,31,00,39,00,30,00,00,00 [HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/InProcServer32] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,/ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,/ 64,00,6f,00,63,00,76,00,77,00,2e,00,64,00,6c,00,6c,00,00,00 "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell] @="OpenHomePage" [HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage] @="打开主页(&H)" "MUIVerb"="@shdoclc.dll,-10241" [HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command] @="/"C://Program Files//Internet Explorer//iexplore.exe/"" [HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/ShellFolder] "Attributes"=dword:00000024 "HideFolderVerbs"="" "WantsParseDisplayName"="" "HideOnDesktopPerUser"="" 注意：（病毒添加的注册表项、有权限设置如果提示无法删除请鼠标右键单击权限将Everyone用户添加进去给予完全控制打钩即可删除）