Я столкнулся с Windows 7, которая - когда вставлена флешка - показывает флешку в Моем компьютере, но папка просто содержит ярлык. При доступе к ярлыку отображается фактический контент.

Ярлык выглядит примерно так:

C:\Windows\system32\cmd.exe /c start rundll32  \abc.abc,ABcPrS

Часть abc - это строка из 60 символов в диапазоне [a-f] ; две части идентичны (до точки и после точки); Я не публикую фактическую строку, так как это может быть проблемой безопасности.

ABcPrS - это 16-символьная строка с верхними и нижними буквами в диапазоне [a-zA-Z] . Это похоже на пароль для меня.

Что это за вещь? Обратная косая черта предполагает некоторую (base64) кодировку?

|источник

1 ответ1

2

Цель всего этого инструмента - запустить определенную часть файла DLL, как если бы это был обычный исполняемый файл.

Первый параметр rundll32 - это имя файла и имя функции (разделенные запятой). Таким образом, это означает «загрузить файл DLL \abc.abc (да, обратная косая черта - это просто часть пути к файлу) и запустить в нем функцию ABcPrS ». (Если после пробела будет предоставлено больше текста, эта функция будет передана как один текстовый параметр.)

Ни имя файла, ни имя функции никоим образом не кодируются. В вашем случае это буквально имеет случайно сгенерированное имя, как и следовало ожидать от вируса.

И да, таинственный ярлык, который запускает таинственный файл со случайным именем, означает, что ваша флешка заражена. (Реальные файлы могут все еще быть в скрытой папке, хотя.)

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .