我遇到过这样的情况:插入 USB 后,Windows 7 会在“我的电脑”中显示 USB ,但文件夹仅包含一个快捷方式。访问快捷方式后,会显示实际内容。
快捷方式看起来像这样:
C:\Windows\system32\cmd.exe /c start rundll32 \abc.abc,ABcPrS
该abc部分是一个范围内的 60 个字符串[a-f];两个部分相同(点之前和点之后);我不会发布实际的字符串,因为这可能是一个安全问题。
这ABcPrS是包含大小写字母的 16 个字符的字符串[a-zA-Z]。在我看来,这就像一个密码。
这是什么东西?反斜杠暗示某种 (base64) 编码?
答案1
此工具的全部目的是运行 DLL 文件的某个部分,就好像它是一个常规的可执行文件一样。
rundll32 的第一个参数是文件名和函数名(以逗号分隔)。因此,它的意思是“加载 DLL 文件\abc.abc(是的,反斜杠只是文件路径的一部分)并ABcPrS在其中运行函数”。(如果在空格后提供更多文本,则将作为单个文本参数传递给该函数。)
文件名和函数名均未以任何方式进行编码。就您而言,它实际上是一个随机生成的名称,就像病毒所期望的那样。
是的,一个神秘的快捷方式会运行一个具有随机名称的神秘文件,这意味着你的 USB 驱动器已被感染。(但真实文件可能仍然位于隐藏文件夹中。)