- 帖子
- 12
- 积分
- 18
- 威望
- 24
- 金钱
- 23
- 在线时间
- 0 小时
|
6楼
发表于 2008-7-25 13:55
| 只看该作者
呵呵,这个autorun.inf比较有意思,竟然连"资源管理器"也不放过,我同学把U盘拿过来时也中毒了,
这个病毒也比较有意思,以下是分析过程,可以类比着找到它们的共同之处:
【分享】一次U盘病毒问题分析
今天把同学的U盘拿过来,习惯性的点右键,果然有病毒:
最后微点也报病毒了,为了便于研究,便把微点关了!
最近的U盘病毒用右键打开,即使是点"资源管理器"也可能会中标,所以我用文件夹浏览打开的.
显示隐藏文件后,理所当然的发现了autorun.inf文件:
复制内容到剪贴板
代码:
[AutoRun]
Shell = verb1
shell\verb1\command=Thumbs.dn\1.{3aea-1069-a2de-08002b30309d}\Thumbs.bat
shell\verb1=打开(&O)
Shell = Auto
找到其中的Thumbs.dn,发现是一个打印机图表,点开看也是打印机的东西:
于是想起来了WINDOWS的"CLSID",原来这个小病毒用了障眼法.
先提供些资料:
引用:
就象是每个公民都有一个唯一的身份证和身份证号码一样,在Windows中,每个系统级应用程序(比如“我的电脑”、“回收站”、“计划任务”等)也都用一个唯一的标识符来进行管理,当我们操作电脑双击某个文件夹时(比如双击“计划任务”),操作系统会首先检查该文件夹的文件名,并到注册表中去这个标识符所注册的应用程序类型,最后再打开相应的应用程序或使用这个应用程序打开该文件(这就是为什么我们双击“我的电脑”或“计划任务”时,弹出的窗口永远和普通文件夹窗口不一样的道理),那么在操作系统与真实文件夹之间起到承接作用的这些数字就被称为“类标识符”。
其实这个“类标识符”的真正名字叫“Windows文件标识符”,英文名称“CLSID”,平时被保存在注册表中[HKEY_LOCAL_MACHINE\Software\Classes\CLSID]键值下,通常是由32个十六进制数构成,其一般格式就是“.{八位数-四位数-四位数-四位数-十二位数}”(注意在大括号前面有一个“点”)。
其实Windows的“类标识符”并不仅仅表示像“我的电脑”这样的系统级应用程序,许多注册过的文件后缀也都拥有自己的“类标识符”,比如“.{00020c01-0000-0000-c000-000000000046}”代表的就是WAV音频文件,而“.{00020811-0000-0000-c000-000000000046}则是代表Excel的图表文件。不过这里有一点是确定的,所有的“类标识符”在一个Windows中都是唯一的
于是我先到cmd下dir /a 或者 dir /x 把它完全显示出来,
结果这个Thumbs.dn文件竟然没有把它后面的
.{2227A280-3AEA-1069-A2DE-08002B30309D}
显示出来.
打印机的CLSID就是.{2227A280-3AEA-1069-A2DE-08002B30309D}
用[p]ren Thumbs.dn.{2227A280-3AEA-1069-A2DE-08002B30309D} 1
也不管用...
看来得用WINARA 了,
打开它才把 Thumbs.dn里面的东西揪出来:
晕了,不知道这个隐藏的扩展名在CMD下也不会显示~
大牛来解释下啊~
------------------------------------------
------------------------------------------
病毒打包传上来(发现传不了附件...),供有兴趣的研究:
U盘病毒Thumbs.dnWINDOWS内核疯狂爱好者
帖子243 精华6 积分5537 阅读权限150 性别男 在线时间1115 小时 注册时间2007-1-10 最后登录2008-7-24 查看个人网站
查看详细资料TOP 少女暴富的隐秘(图)
ring04h
团队执行官
|
|