帶來Shell.CMruPidlList和_SHuassist.mtx的郵件

發生什麼事?

這些年,收到垃圾郵件、釣魚郵件都見怪不怪,反正hotmail、gmail會幫我過濾那些郵件。但如果是好朋友們的信就無法第一時間過濾掉,因此某些msn的內含惡意聯結的郵件仍持續散佈。



今天我收到的惡意郵件沒有主旨,只有寄件人和收件人,內容只有一行
http://cr.site-sales.biz/blog/不要點喔wp-content/plugins/zaieccpauio/google.html?otv=fgfh.psml&ygu=onnm.hkml&gwyj=tjbm

怎麼發生?

請不要好奇點上面的聯結,除非你在虛擬機器中。我來說明點了以後會發生甚麼事。
1.跳轉到 http://www.foxnews.com.不要點喔happyhcgultracustomers.new.enwb21.com

2.連線到 194.15.114.5 。

3.創造 iexplore.exe 的 process。

4.修改註冊表
4.1關閉IE的proxy
HKLM\​SYSTEM\​CURRENTCONTROLSET\​HARDWARE PROFILES\​CURRENT\​Software\​Microsoft\​windows\​CurrentVersion\​Internet Settings  infoProxyEnable 

4.2修改資料夾的設定
HKU\​S-1-5-21-842925246-1425521274-308236825-500\​SOFTWARE\​MICROSOFT\​WINDOWS\​SHELLNOROAM\​\​BagMRU MRUListEx 0x020000000100000000000000ffffffff 

4.3允許遠端修改proxy設定
HKU\​S-1-5-21-842925246-1425521274-308236825-500\​Software\​Microsoft\​windows\​CurrentVersion\​Internet Settings  infoMigrateProxy 

5.建立檔案 Shell.CMruPidlList 和 _SHuassist.mtx

最後你中了木馬,來自Anubis.iseclab.org 的詳細報告請看 這裡

怎麼解決問題?

我 google了一些 方法 包含幾個步驟,但是效果尚未證實。

1.關閉所有IE瀏覽器、資料夾。

2.關閉工作管理員中所有的 iexplore.exe 。

3.刪除 Shell.CMruPidlList 和 _SHuassist.mtx 。

4.修復註冊表。

因為移除方法似乎不是很完備,等待我實驗過後再回報。

留言

這個網誌中的熱門文章

資安JAVA(十):X-Content-Type-Options

資安JAVA(十一):X-XSS-Protection

資安JAVA(四):Session Cookie HTTPOnly Flag