"分析“网页快捷方式劫持”之深度隐藏参照.pdf,主要探讨了网页快捷方式被恶意篡改的现象,以及其中涉及的常规手段和技术细节。"
在计算机安全领域,“网页快捷方式劫持”是一种常见的恶意行为,由不法软件或流氓软件实施,其目的是在用户不知情的情况下改变网页快捷方式的目标地址,从而使得用户在点击这些快捷方式时,被重定向到指定的恶意网站,通常是广告或恶意内容的聚集地。这一行为并不包括修改浏览器的默认首页,而是专注于通过篡改快捷方式来控制用户的上网路径。
“网页快捷方式劫持”的常规伎俩主要体现在快捷方式的目标路径被篡改。比如,描述中的例子提到了一个名为“winsoft6”的恶意软件,它利用了一个名为“3.vbs”的脚本来执行这个操作。这个脚本会遍历系统中的一些特殊目录,如桌面、启动菜单、开始菜单等,找到包含网页链接的快捷方式,并将它们的目标路径更改为恶意站点的URL。
以下是一些关键的技术细节:
1. **VBScript的运用**:在这个案例中,`WScript.Shell`对象被用来访问和修改系统的特殊文件夹,例如桌面和收藏夹。`WshShell.ExpandEnvironmentStrings`函数用于解析环境变量,如`%ProgramFiles%`,以获取实际的文件路径。
2. **快捷方式的属性修改**:通过`CreateShortcut`方法创建一个新的快捷方式对象,然后设置其`TargetPath`属性为恶意脚本的路径,`IconLocation`为伪装的图标,`WorkingDirectory`为启动时的工作目录,最后调用`Save`方法保存这些修改。
3. **隐藏和混淆**:为了躲避检测,恶意软件往往会使用混淆的文件名和路径,例如在`2222.vbs`和`qq.ico`中,可能真实的目的并非表面所示,而是一种误导。
4. **所有用户启动菜单的利用**:`AllUsersStartMenu`是Windows系统中一个特殊文件夹,它包含了所有用户都能看到的启动项。在案例中,恶意脚本尝试在此处创建快捷方式,确保每次用户登录都会执行。
防范“网页快捷方式劫持”的措施主要包括定期更新和运行反病毒软件,避免下载不明来源的软件,以及谨慎授予软件对系统文件夹的访问权限。如果发现快捷方式被篡改,应立即恢复原始目标路径,并查找并清除相关恶意软件。对于企业网络管理员,应强化终端安全策略,限制不必要的脚本执行,提高员工的网络安全意识,防止此类攻击的发生。