[讨论]有人见过硬盘快捷方式病毒吗？-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]有人见过硬盘快捷方式病毒吗？

发表于: 2014-8-23 10:41 15925

[讨论]有人见过硬盘快捷方式病毒吗？

tinyzimu

2014-8-23 10:41

15925

病毒特性：1.在移动硬盘根目录下创建一个快捷方式（硬盘图标），一个乱码文件（病毒DLL库文件，通过快捷方式调用其中的函数），一个desktop.ini打开后为乱码，和一个不显示名字的文件夹，并将移动硬盘所有文件剪切至这个不显示名字的目录下，通过双击其创建的快捷方式可以打开该目录。对计算机固定硬盘没有影响。
            2.病毒运行后会首先出现在Temp等随机目录下，可执行程序的名称在不同的计算机上也是不同的，而且后缀名可能为exe,也可能为cmd或bat等，同时将自身复制到另一个文件夹下面运行，并结束自身进程。在此期间，病毒会添加开机自启动至注册表的HKLM\Software\Microsoft\Windows\CurrentVersion\Run\下面。
            3.病毒运行过程中会隐藏自身进程，通过任务管理器看不到任何异常，只有用专用的驱动级工具才能发现其运行痕迹，病毒运行后还会请求连接网络。
            4.病毒传播特性，由于病毒间接隐藏了用户的文件，不知缘由的用户不得不通过双击快捷方式来找到自己的文件，因此就造成了该病毒在民间的大量传播。
            5.本人曾想编写一个专杀工具，但由于大量时间都在用于开发其他大型软件，未能抽出时间，只对该病毒的特性进行了一个简单的分析。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持

最新回复 (19)
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 2 楼至少也得发个样本出来让我们看看吧。。。 2014-8-23 12:02 0
feaferf 雪币： 231 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	feaferf 3 楼这种病毒重点是在Target，右键快捷方式，看它的Target，里面会有一句脚本命令，来执行其他操作。 2014-8-23 12:07 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 4 楼 lnk漏洞而已。 2014-8-23 14:34 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 5 楼仅一条"添加开机自启动至注册表" 就足够说明这病毒是213...... 2014-8-23 19:39 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 6 楼仅这一条，5年前的杀软就能秒杀了 2014-8-23 20:08 0
tinyzimu 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	tinyzimu 7 楼目前还没有杀软能杀的掉，最初的特性是我在虚拟机上运行的效果，今天我在真机上运行了该病毒，又发现了该病毒的新特性，我使用XueTr和IceSword都无法查找到其在真机上的进程和添加在注册表里的项，经我不断的插入硬盘进行测试，但病毒的确是在运行着，确又无迹可寻，杀软没有反应，两个驱动级的工具也无法找得到，只能在虚拟机上才能看到。杀软全是最新的 2014-8-23 23:54 0
tinyzimu 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	tinyzimu 8 楼快捷方式的目标是调用 rundll32来加载同目录下的一后缀为FAT的文件（其实是DLL文件），后面跟着一堆参数。 2014-8-23 23:57 0
韩梦雅雪币： 1933 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 103 粉丝 1 关注私信	韩梦雅 9 楼很牛逼觉得，支持大牛干掉！！ 2014-8-25 14:54 0
zhczf 雪币： 11096 活跃值： (17617) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 402 粉丝 0 关注私信	zhczf 10 楼楼主把病毒以附件的形式发到论坛，供高手研究啊， 2014-8-25 15:25 0
tinyzimu 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	tinyzimu 11 楼不好意思，该病毒副本在我们内网，我们内网的文件没办法复制出来，要不我早就放上来了。这个病毒据我了解互联网上还没有，我怀疑是不是我们内部人编写的 2014-8-25 18:49 0
tinyzimu 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	tinyzimu 12 楼 http://blog.163.com/shi_fengming/blog/static/388057332014338435126/ 这个人的情况和我们内网的病毒相同。 2014-8-25 18:54 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 13 楼发不了样本，那就把那个FAT后缀的文件算个MD5发下出来，否则没有样本也无能为力 2014-8-26 13:13 0
tinyzimu 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	tinyzimu 14 楼发MD5有什么用呀？ 2014-8-27 18:59 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 15 楼只要有MD5，基本都会有样本，现在是样本太多的时代。。。 2014-8-27 23:37 0
徐凤年雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	徐凤年 16 楼添加启动项在HIPS面前就是渣渣 2014-8-31 02:25 0
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 334 粉丝 1 关注私信	myangel 17 楼这个确实见过。。不过那时只是通过他的操作行为判断的 2014-9-4 12:53 0
qiyidian 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	qiyidian 18 楼转载网上一篇相关的文章，但愿对楼主有帮助。 ==================================== 2010年7月16日，Windows lnk漏洞（快捷方式漏洞）的相关信息被披露，因为利用这个漏洞传播恶意软件具备“看一眼就中”的显著特性，立即引发安全厂商的高度关注。本资料试图向公众完整解释与lnk漏洞（快捷方式漏洞）有关的信息，提醒公众高度重视，尽早采取必要的防范措施。 lnk漏洞（快捷方式漏洞）是什么？在我们平时启动电脑上的程序时，很多情况下是先双击程序的快捷方式，再由快捷方式启动相应的程序。快捷方式的扩展名为lnk，lnk文件多存在于桌面、开始菜单的各个程序组、任务栏的快速启动栏。 Windows操作系统为了将这些漂亮的图标显示在快捷方式上，会派发一个任务给Shell32.dll去完成快捷方式图标的解析工作。在Shell32.dll的解析过程中，会通过"快捷方式"的文件格式去逐个解析：首先找到快捷方式所指向的文件路径，接着找到快捷方式依赖的图标资源。这样，Windows桌面和开始菜单上就可以看到各种漂亮的图标，我们点击这些快捷方式时，就会执行相应的应用程序。 Windows Lnk漏洞就是利用了系统解析的机制，攻击者恶意构造一个特殊的Lnk（快捷方式）文件，精心构造一串程序代码来骗过操作系统。当Shell32.dll解析到这串编码的时候，会认为这个"快捷方式"依赖一个系统控件（dll文件），于是将这个"系统控件"加载到内存中执行。如果这个"系统控件"是病毒，那么Windows在解析这个lnk（快捷方式）文件时，就把病毒激活了。病毒如何利用Windows lnk漏洞（快捷方式漏洞）传播 Lnk漏洞（快捷方式漏洞）具有非常好的触发特性，一句话解释就是，“看一眼就中毒”。病毒传播者会精心构造一个特殊的lnk文件和一个lnk调用的病毒文件。通过U盘、移动硬盘、数码存储卡复制传播这些文件，也可以将病毒文件打包在正常程序的压缩包中。当病毒被复制到或解压到目标位置，用户使用一些资源管理器软件去访问这些文件夹时，不需要其它任何操作，病毒程序就会被立即执行。如果病毒保存在USB存储器上，对于多数启用了U盘自动运行功能的电脑，插入U盘的动作，即可同时运行病毒。在局域网的共享文件中若存在这样的文件，正常电脑访问这些共享文件夹，就会立即中毒。这种lnk文件自动运行的特性，对病毒传播提供了难得的机会。金山毒霸安全实验室认为，利用lnk漏洞（快捷方式漏洞）的病毒将会越来越多。受lnk漏洞影响的系统：微软官方漏洞公告说，Windows XP以后的所有操作系统（包括Windows Vista、Windows 7、Windows Server 2003和Windows Server 2008的各个版本）均受此影响，在中国，这样的计算机大约有2-3亿台。漏洞危害可能持续的时间这个漏洞是7月16日被发现的，到下一个微软的例行漏洞修复日，还有2-3周的时间。而用户安装补丁也需要时间，一直存在很多电脑不打补丁的情况。据金山毒霸安全实验室分析，在中国存在大量美化版的盗版Windows，这些盗版Windows可能出现打补丁后，图标显示异常，用户也许会排斥补丁程序。这些因素可能导致较多电脑长期置身于lnk漏洞（快捷方式漏洞）的危险之中。如何防范lnk漏洞的危害 1.根本上解决，必须安装Windows补丁程序。待微软官方更新之后，用户须立即使用金山卫士或Windows Update安装补丁。 2.临时解决办法：安装金山网盾，升级后，获得对lnk漏洞（快捷方式漏洞）的免疫能力。 3.安装金山毒霸2011安全套装，检查U盘存储的文件，及时清理U盘中的病毒。 4.网管宜加强局域网共享权限的管理，关闭不受控的完全共享，避免病毒文件在局域网共享文件夹中传播。 2014-9-8 15:01 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 19 楼惊叹有什么用？都多少年前的漏洞了。只要打了补丁就不会中。 2014-11-15 18:40 0
yjwfdc 雪币： 121 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	yjwfdc 20 楼几年前见过,这个也是.还有几种，也就不发了。上传的附件：快捷方式正咩.rar （2.32kb，43次下载） 2014-11-23 12:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

tinyzimu

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 2 楼至少也得发个样本出来让我们看看吧。。。 2014-8-23 12:02 0
feaferf 雪币： 231 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 28 粉丝 0 关注私信	feaferf 3 楼这种病毒重点是在Target，右键快捷方式，看它的Target，里面会有一句脚本命令，来执行其他操作。 2014-8-23 12:07 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 4 楼 lnk漏洞而已。 2014-8-23 14:34 0
exediy 雪币： 228 活跃值： (115) 能力值： ( LV5，RANK：70 ) 在线值：发帖 10 回帖 652 粉丝 3 关注私信	exediy 1 5 楼仅一条"添加开机自启动至注册表" 就足够说明这病毒是213...... 2014-8-23 19:39 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 6 楼仅这一条，5年前的杀软就能秒杀了 2014-8-23 20:08 0
tinyzimu 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	tinyzimu 7 楼目前还没有杀软能杀的掉，最初的特性是我在虚拟机上运行的效果，今天我在真机上运行了该病毒，又发现了该病毒的新特性，我使用XueTr和IceSword都无法查找到其在真机上的进程和添加在注册表里的项，经我不断的插入硬盘进行测试，但病毒的确是在运行着，确又无迹可寻，杀软没有反应，两个驱动级的工具也无法找得到，只能在虚拟机上才能看到。杀软全是最新的 2014-8-23 23:54 0
tinyzimu 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	tinyzimu 8 楼快捷方式的目标是调用 rundll32来加载同目录下的一后缀为FAT的文件（其实是DLL文件），后面跟着一堆参数。 2014-8-23 23:57 0
韩梦雅雪币： 1933 活跃值： (113) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 103 粉丝 1 关注私信	韩梦雅 9 楼很牛逼觉得，支持大牛干掉！！ 2014-8-25 14:54 0
zhczf 雪币： 11096 活跃值： (17617) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 402 粉丝 0 关注私信	zhczf 10 楼楼主把病毒以附件的形式发到论坛，供高手研究啊， 2014-8-25 15:25 0
tinyzimu 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	tinyzimu 11 楼不好意思，该病毒副本在我们内网，我们内网的文件没办法复制出来，要不我早就放上来了。这个病毒据我了解互联网上还没有，我怀疑是不是我们内部人编写的 2014-8-25 18:49 0
tinyzimu 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	tinyzimu 12 楼 http://blog.163.com/shi_fengming/blog/static/388057332014338435126/ 这个人的情况和我们内网的病毒相同。 2014-8-25 18:54 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 13 楼发不了样本，那就把那个FAT后缀的文件算个MD5发下出来，否则没有样本也无能为力 2014-8-26 13:13 0
tinyzimu 雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 58 粉丝 0 关注私信	tinyzimu 14 楼发MD5有什么用呀？ 2014-8-27 18:59 0
lovelyday 雪币： 31 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 169 粉丝 0 关注私信	lovelyday 15 楼只要有MD5，基本都会有样本，现在是样本太多的时代。。。 2014-8-27 23:37 0
徐凤年雪币： 6 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 22 粉丝 0 关注私信	徐凤年 16 楼添加启动项在HIPS面前就是渣渣 2014-8-31 02:25 0
myangel 雪币： 1795 活跃值： (63) 能力值： ( LV3，RANK：30 ) 在线值：发帖 7 回帖 334 粉丝 1 关注私信	myangel 17 楼这个确实见过。。不过那时只是通过他的操作行为判断的 2014-9-4 12:53 0
qiyidian 雪币： 52 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 29 粉丝 0 关注私信	qiyidian 18 楼转载网上一篇相关的文章，但愿对楼主有帮助。 ==================================== 2010年7月16日，Windows lnk漏洞（快捷方式漏洞）的相关信息被披露，因为利用这个漏洞传播恶意软件具备“看一眼就中”的显著特性，立即引发安全厂商的高度关注。本资料试图向公众完整解释与lnk漏洞（快捷方式漏洞）有关的信息，提醒公众高度重视，尽早采取必要的防范措施。 lnk漏洞（快捷方式漏洞）是什么？在我们平时启动电脑上的程序时，很多情况下是先双击程序的快捷方式，再由快捷方式启动相应的程序。快捷方式的扩展名为lnk，lnk文件多存在于桌面、开始菜单的各个程序组、任务栏的快速启动栏。 Windows操作系统为了将这些漂亮的图标显示在快捷方式上，会派发一个任务给Shell32.dll去完成快捷方式图标的解析工作。在Shell32.dll的解析过程中，会通过"快捷方式"的文件格式去逐个解析：首先找到快捷方式所指向的文件路径，接着找到快捷方式依赖的图标资源。这样，Windows桌面和开始菜单上就可以看到各种漂亮的图标，我们点击这些快捷方式时，就会执行相应的应用程序。 Windows Lnk漏洞就是利用了系统解析的机制，攻击者恶意构造一个特殊的Lnk（快捷方式）文件，精心构造一串程序代码来骗过操作系统。当Shell32.dll解析到这串编码的时候，会认为这个"快捷方式"依赖一个系统控件（dll文件），于是将这个"系统控件"加载到内存中执行。如果这个"系统控件"是病毒，那么Windows在解析这个lnk（快捷方式）文件时，就把病毒激活了。病毒如何利用Windows lnk漏洞（快捷方式漏洞）传播 Lnk漏洞（快捷方式漏洞）具有非常好的触发特性，一句话解释就是，“看一眼就中毒”。病毒传播者会精心构造一个特殊的lnk文件和一个lnk调用的病毒文件。通过U盘、移动硬盘、数码存储卡复制传播这些文件，也可以将病毒文件打包在正常程序的压缩包中。当病毒被复制到或解压到目标位置，用户使用一些资源管理器软件去访问这些文件夹时，不需要其它任何操作，病毒程序就会被立即执行。如果病毒保存在USB存储器上，对于多数启用了U盘自动运行功能的电脑，插入U盘的动作，即可同时运行病毒。在局域网的共享文件中若存在这样的文件，正常电脑访问这些共享文件夹，就会立即中毒。这种lnk文件自动运行的特性，对病毒传播提供了难得的机会。金山毒霸安全实验室认为，利用lnk漏洞（快捷方式漏洞）的病毒将会越来越多。受lnk漏洞影响的系统：微软官方漏洞公告说，Windows XP以后的所有操作系统（包括Windows Vista、Windows 7、Windows Server 2003和Windows Server 2008的各个版本）均受此影响，在中国，这样的计算机大约有2-3亿台。漏洞危害可能持续的时间这个漏洞是7月16日被发现的，到下一个微软的例行漏洞修复日，还有2-3周的时间。而用户安装补丁也需要时间，一直存在很多电脑不打补丁的情况。据金山毒霸安全实验室分析，在中国存在大量美化版的盗版Windows，这些盗版Windows可能出现打补丁后，图标显示异常，用户也许会排斥补丁程序。这些因素可能导致较多电脑长期置身于lnk漏洞（快捷方式漏洞）的危险之中。如何防范lnk漏洞的危害 1.根本上解决，必须安装Windows补丁程序。待微软官方更新之后，用户须立即使用金山卫士或Windows Update安装补丁。 2.临时解决办法：安装金山网盾，升级后，获得对lnk漏洞（快捷方式漏洞）的免疫能力。 3.安装金山毒霸2011安全套装，检查U盘存储的文件，及时清理U盘中的病毒。 4.网管宜加强局域网共享权限的管理，关闭不受控的完全共享，避免病毒文件在局域网共享文件夹中传播。 2014-9-8 15:01 0
dalerkd 雪币： 118 活跃值： (72) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 527 粉丝 3 关注私信	dalerkd 1 19 楼惊叹有什么用？都多少年前的漏洞了。只要打了补丁就不会中。 2014-11-15 18:40 0
yjwfdc 雪币： 121 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	yjwfdc 20 楼几年前见过,这个也是.还有几种，也就不发了。上传的附件：快捷方式正咩.rar （2.32kb，43次下载） 2014-11-23 12:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复