/ 桌面恶意图标

对某桌面恶意图标程序的分析

还是老工具:procmon和虚拟机,样本则是我前几天在某下载站捕获到的。。。。(要找一个这么顽固的样本不容易啊)于是我用procmon记录下该程序的所有行为。
经过一番努力,终于把恶意程序对系统所做的重要修改全部筛选出来了。
首先是注册表,按理来说,恶意程序都会添加开机启动,可是我找了半天,没有发现相关的行为。
恶意程序对注册表的操作只是添加了几个后缀名(.hfs4/.hfs4b/.hfs4a/.gje1/.631c/.afs1),还有就是在clsid里面添加一个{1f4de370-d627-11d1-ba4f-00a0c91eedba},这个是那个伪IE的项,直接将此项删除,桌面的伪IE就可以删掉了。

点击查看原图

这个样本的症状是,在桌面上生成4个图标(伪IE、指向某网站的快捷方式、今日团购和淘宝网),除了那个伪IE,其他3个都可以删除。但是点击快速启动栏里面的任意图标(包括显示桌面),均会在桌面再次生成这几个图标。那个伪IE的右键只有“打开主页”和“创建快捷方式”两个菜单。之后还会弹出浏览器访问一个页面,通过查看该页面源代码,发现是用来统计流量的。

点击查看原图

点击查看原图

接下来要解决的就是快速启动栏的问题。右键查看快速启动栏里面“显示桌面”的属性,发现文件名是“ 显示桌面”,前面多了个空格,文件类型写的是“快捷方式”,但是却没有指出指向哪个文件。

点击查看原图

于是我在命令行下查看了快速启动目录下的文件,终于看出原委了,那些果真是伪装的文件。这些是通过后缀名来实现的。

点击查看原图

就拿.hfs4b这个分析下吧。

HKCR.hfs4b(Default)  SUCCESS Type: REG_SZ, Length: 20, Data: hfs4bfile    HKCRhfs4bfile(Default)  SUCCESS Type: REG_SZ, Length: 10, Data: 快捷方式    HKCRhfs4bfileIsShortcut  SUCCESS Type: REG_SZ, Length: 2, Data:      HKCRhfs4bfileNeverShowExt  SUCCESS Type: REG_SZ, Length: 2, Data:      HKCRhfs4bfileDefaultIcon(Default) SUCCESS Type: REG_EXPAND_SZ, Length: 56, Data: %SystemRoot%explorer.exe,3 HKCRhfs4bfileshell(Default)  SUCCESS Type: REG_SZ, Length: 10, Data: open    HKCRhfs4bfileshellopencommand(Default) SUCCESS Type: REG_SZ, Length: 106, Data: "C:Program Files vlioCommon4613iikyrc.exe" "%1" 

HKCRhfs4bfile(Default)这个是用来显示文件类型的
HKCRhfs4bfileIsShortcut这个是说明此类文件属于快捷方式
HKCRhfs4bfileNeverShowExt用于控制不显示此类文件的后缀名(在文件夹选项中设置“显示所有后缀名”不影响次类文件的后缀)
HKCRhfs4bfileDefaultIcon(Default)用于控制此类文件的图标
HKCRhfs4bfileshell(Default)控制此类文件的右键菜单
HKCRhfs4bfileshellopencommand(Default)这个是重点,用来控制此类文件所要执行的命令
在C:Program Files
vlioCommon4613文件夹下面发现了“显示桌面.src”文件(真正的显示桌面)。
当我们点击快速启动栏的“ 显示桌面.hfs4b”时,执行的其实是iikyrc.exe这个文件,调用了“显示桌面.src”,并且重新创建了桌面的恶意图标。
我们只要把HKCR.hfs4b(还有.hfs4/.hfs4a/.gje1/.631c/.afs1)和HKCRhfs4bfil(同左边)这几项删除,然后重启下explorer,所有的伪装文件就全部显形了,然后用正常的文件替换即可。
最后删除C:Program Files
vlio整个文件夹

对某桌面恶意图标程序的分析
Share this