返回 登录
0

劫持浏览器恶意代码变种利用合法应用程序

阅读3479

【发现厂家:MCAFEE INTEL SECURITY】
利用的合法应用程序主要有以下三种,都是驱动程序:
HP DESKJET F4580 Driver Utility Setup
DELL Inspiron 5100 Drivers Utility Setup
Acer Aspire ONE ZG5 Drivers Utility Setup
虽然是驱动程序,但都是包含了劫持浏览器恶意插件的。一旦安装了这些被“污染”的驱动程序,即使卸载,也不能清除这些恶意插件。
其名字是:IconOverlayEx.dll (6D37DD857500184164947DD6C8DEE54A)。
不仅如此,恶意程序还增加系统注册表项2个:
项目:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ IconOverlayEx:
值:“{E1773C0E-364D-4210-B831-72F5A359E88F}”
项目:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved{E1773C0E-364D-4210-B831-72F5A359E88F}:
值:“Icon Overlay Shell Extension”
以达到妄图老赖在机器中的目的。

评论