还是老工具:procmon和虚拟机,样本则是我前几天在某下载站捕获到的。。。。(要找一个这么顽固的样本不容易啊)
这个样本的症状是,在桌面上生成4个图标(伪IE、指向某网站的快捷方式、今日团购和淘宝网),除了那个伪IE,其他3个都可以删除。但是点击快速启动栏里面的任意图标(包括显示桌面),均会在桌面再次生成这几个图标。那个伪IE的右键只有“打开主页”和“创建快捷方式”两个菜单。之后还会弹出浏览器访问一个页面,通过查看该页面源代码,发现是用来统计流量的。
附件:
您所在的用户组无法下载或查看附件于是我用procmon记录下该程序的所有行为。
经过一番努力,终于把恶意程序对系统所做的重要修改全部筛选出来了。
首先是注册表,按理来说,恶意程序都会添加开机启动,可是我找了半天,没有发现相关的行为。
恶意程序对注册表的操作只是添加了几个后缀名(.hfs4/.hfs4b/.hfs4a/.gje1/.631c/.afs1),还有就是在clsid里面添加一个{1f4de370-d627-11d1-ba4f-00a0c91eedba},这个是那个伪IE的项,直接将此项删除,桌面的伪IE就可以删掉了。
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件接下来要解决的就是快速启动栏的问题。
右键查看快速启动栏里面“显示桌面”的属性,发现文件名是“ 显示桌面”,前面多了个空格,文件类型写的是“快捷方式”,但是却没有指出指向哪个文件。
附件:
您所在的用户组无法下载或查看附件于是我在命令行下查看了快速启动目录下的文件,终于看出原委了,那些果真是伪装的文件。这些是通过后缀名来实现的。
附件:
您所在的用户组无法下载或查看附件就拿.hfs4b这个分析下吧。
HKCR\.hfs4b\(Default) SUCCESS Type: REG_SZ, Length: 20, Data: hfs4bfile
HKCR\hfs4bfile\(Default) SUCCESS Type: REG_SZ, Length: 10, Data: 快捷方式
HKCR\hfs4bfile\IsShortcut SUCCESS Type: REG_SZ, Length: 2, Data:
HKCR\hfs4bfile\NeverShowExt SUCCESS Type: REG_SZ, Length: 2, Data:
HKCR\hfs4bfile\DefaultIcon\(Default) SUCCESS Type: REG_EXPAND_SZ, Length: 56, Data: %SystemRoot%\explorer.exe,3
HKCR\hfs4bfile\shell\(Default) SUCCESS Type: REG_SZ, Length: 10, Data: open
HKCR\hfs4bfile\shell\open\command\(Default) SUCCESS Type: REG_SZ, Length: 106, Data: "C:\Program Files\nvlio\Common\4613\iikyrc.exe" "%1"
HKCR\hfs4bfile\(Default)这个是用来显示文件类型的
HKCR\hfs4bfile\IsShortcut这个是说明此类文件属于快捷方式
HKCR\hfs4bfile\NeverShowExt用于控制不显示此类文件的后缀名(在文件夹选项中设置“显示所有后缀名”不影响次类文件的后缀)
HKCR\hfs4bfile\DefaultIcon\(Default)用于控制此类文件的图标
HKCR\hfs4bfile\shell\(Default)控制此类文件的右键菜单
HKCR\hfs4bfile\shell\open\command\(Default)这个是重点,用来控制此类文件所要执行的命令
在C:\Program Files\nvlio\Common\4613文件夹下面发现了“显示桌面.src”文件(真正的显示桌面)。
当我们点击快速启动栏的“ 显示桌面.hfs4b”时,执行的其实是iikyrc.exe这个文件,调用了“显示桌面.src”,并且重新创建了桌面的恶意图标。
我们只要把HKCR\.hfs4b(还有.hfs4/.hfs4a/.gje1/.631c/.afs1)和HKCR\hfs4bfil(同左边)这几项删除,然后重启下explorer,所有的伪装文件就全部显形了,然后用正常的文件替换即可。
最后删除C:\Program Files\nvlio整个文件夹。
