1   1  /  1  页   跳转

[原创] 修复桌面顽固假IE的看法[完成]

修复桌面顽固假IE的看法[完成]

桌面假IE的现象有:

1、桌面有一个IE类似这些图:,表面上与正常的IE(不分IE6或IE7)没有区别,但是当双击打开之后,浏览的却不是用户设置的首页。
2、右键——没有删除,并且使用粉碎工具都无法删除。
3、修改注册表权限的行为。
将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace]注册表下自身创建的CLSID设置为everone只读权限,使用户在手动添加权限之前,不能删除该项。






下面用样本行为说明:
附件是一个修改IE的流氓程序的两个注册表行为:
行为一:

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}]
"InfoTip"="@shdoclc.dll,-880"
"LocalizedString"="@shdoclc.dll,-880"
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\DefaultIcon]
@=hex(2):73,00,68,00,64,00,6f,00,63,00,6c,00,63,00,2e,00,64,00,6c,00,6c,00,2c,\
  00,30,00,00,00
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\InProcServer32]
@="%SystemRoot%\\system32\\shdocvw.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\shell]
@="打开主页(&H)"
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\shell\属性(&R)]
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\shell\属性(&R)\Command]
@="rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl,,0"
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\shell\打开主页(&H)]
"MUIVerb"="@shdoclc.dll,-10241"
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\shell\打开主页(&H)\Command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe http://%%77%%77%%77%%2E%%36%%34%%38%%31%%31%%2E%%63%%6F%%6D"
[HKEY_CLASSES_ROOT\CLSID\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}\ShellFolder]
"HideFolderVerbs"=""
"WantsParsDisplayName"=""
"HideOnDesktopPerUser"=""
"Attributes"=dword:00000000


红色部分是病毒修改的,打开首页就会浏览恶意网页
病毒仿造正常的CLSID:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}
伪造的CLSID与正常{871C5380-42A0-1069-A2EA-08002B30309D}的属性不同的就是蓝色部分:
"Attributes"=dword:00000000

经过对比,当"Attributes"为十六进制的00000000时,代表“无敌”(没有删除选项),而正常的"Attributes"的属性是十六进制的00000024时,右键有删除选项


病毒在桌面上创建的假IE的desktop注册表项:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{112FDC99-4915-4f6e-B11B-41370D5F9A1A}]
@="MSXML60"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{1f4de370-d627-11d1-ba4f-00a0c91eedba}]
@="Computer Search Results Folder"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{450D8FBA-AD25-11D0-98A8-0800361B1103}]
@=""
"Removal Message"="@mydocs.dll,-900"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{645FF040-5081-101B-9F08-00AA002F954E}]
@="Recycle Bin"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]
@="Search Results Folder"


附件中的样本没有“3、修改注册表权限的行为。”,所以用户可以手动删除。




针对目前卡卡安全助手6.0还没有增加修复这个桌面假IE的操作,建议卡卡在新版或者是以后版本中增加修复操作。

个人的修复建议是:

因为病毒创建的假CLSID名称并不需要固定,也就是说可以随便更改的,所以建议卡卡助手首先检查这里:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace]

将得到的CLSID在这里对比:
HKEY_CLASSES_ROOT\CLSID
如果匹配,则检查是否有假IE的特征,然后将这C:\\Program Files\\Internet Explorer\\iexplore.exe后面的网址删除。

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXXXXXXXXXXXXXX}\shell\打开主页(&H)\Command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXXXXXXXXXXXXXXXX}\ShellFolder]
"HideFolderVerbs"=""
"WantsParsDisplayName"=""
"HideOnDesktopPerUser"=""
"Attributes"=dword:00000000

"Attributes"=dword:00000000更改回:"Attributes"=dword:00000024

然后修复这里:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons
将这里的:{871C5380-42A0-1069-A2EA-08002B30309D}值改回0(修复显示正常的IE)

还有[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace]

因为大部分假IE图标会修改这项的下面病毒创建的CLSID权限为everyone只读,所以,希望卡卡注意这个情况。

附件提供一个模拟假IE的批处理:


类似帖子:http://hi.baidu.com/znhygsd/blog/item/3a1cce1b4abad9f0ae5133ce.html



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

附件附件:

下载次数:535
文件类型:application/octet-stream
文件大小:
上传时间:2009-12-4 17:13:43
描述:rar

附件附件:

文件名:模拟假IE.zip
下载次数:536
文件类型:application/x-zip-compressed
文件大小:
上传时间:2009-12-4 17:36:27
描述:zip

最后编辑过客2007 最后编辑于 2009-12-04 17:37:39
传说在很远的古代,一个庙里,有一个大神与一个小鬼住在里面。天下了大雨,庙前的河里长了水。来了一个人,过不了河,就把庙里的大神搬了出去,丢在河里,然后他踏在大神的身上,飞跳了过河。等会又来了
分享到:
gototop
 

回复:修复桌面顽固假IE的看法[未完成,待续]

没有下文了
gototop
 

回复 2F networkedition 的帖子

估计是要说在注册表里找到XXXXXXXX删除.


gototop
 

回复:修复桌面顽固假IE的看法[未完成,待续]

要是重新安装一下ie呢。
共同交流,共同进步。
gototop
 

回复: 修复桌面顽固假IE的看法[未完成,待续]



引用:
原帖由 xuminV 于 2009-12-4 17:36:00 发表
要是重新安装一下ie呢。



应该无效
传说在很远的古代,一个庙里,有一个大神与一个小鬼住在里面。天下了大雨,庙前的河里长了水。来了一个人,过不了河,就把庙里的大神搬了出去,丢在河里,然后他踏在大神的身上,飞跳了过河。等会又来了
gototop
 

回复:修复桌面顽固假IE的看法[完成]

该用户帖子内容已被屏蔽
gototop
 

回复:修复桌面顽固假IE的看法[完成]

该用户帖子内容已被屏蔽
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT