48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
将以上内容复制到记事本中,保存为*.reg格式文件,双击导入注册表即可。
ielp.exe U盘病毒详细介绍
运行后文件变化
各个分区生成autorun.inf 和ielp.exe
修改系统时间为2005年1月17日0:00
注册表变化
修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值为 0x00000001
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\Type:值为"radio2"
破坏显示隐藏文件
连接网络下载木马
读取http://www.jh177.cn/googel.txt等下载列表文件
与%system32%\iehelp.ini进行同步
下载列表中的木马文件到%system32%下分别命名为ie_help0.exe~ie_help2.exe
木马植入完毕以后生成如下文件
%system32%\drivers\svchost.exe
%system32%\EXPL0RER.EXE
%system32%\iehelp.ini
%system32%\ie_help0.exe
%system32%\ie_help1.exe
%system32%\ie_help2.exe
%system32%\SVCH0ST.EXE
%system32%\svchcst.exe
其中%system32%\SVCH0ST.EXE和%system32%\EXPL0RER.EXE双进程保护
对应的sreng日志如下
启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
上一篇:在Windows XP环境下重新安装IE的技巧
下一篇:感悟:百度(baidu)给你一个努力的平台
|
精品推荐