Atalho para rundll32 com entrada oculta

Question

Atalho para rundll32 com entrada oculta

#1 resposta do (2 votos)

0

Me deparei com um Windows 7 que - quando um pen drive USB é inserido - mostra o pendrive em Meu computador, mas a pasta simplesmente contém um atalho. Ao acessar o atalho, o conteúdo real é apresentado.

O atalho se parece com algo assim:

C:\Windows\system32\cmd.exe /c start rundll32 \abc.abc,ABcPrS

A parte abc é uma cadeia de 60 caracteres em [a-f] range; as duas partes são idênticas (antes do ponto e depois do ponto); Não estou postando a string real, pois pode ser um problema de segurança.

A ABcPrS é uma cadeia de 16 caracteres com letras maiúsculas e minúsculas em [a-zA-Z] de intervalo. Isso parece uma senha para mim.

O que é isso? A barra invertida sugere alguma codificação (base64)?

command-line windows shortcuts virus

por Nicu Tofan 19.08.2017 / 09:56

1 resposta

Tags command-line windows shortcuts virus

Adicionar autor ao arquivo SFX com o WinRAR Como combinar uma subcadeia de uma célula de uma lista de arrays no EXCEL

score 2 · Accepted Answer

O objetivo desta ferramenta é executar uma determinada parte de um arquivo DLL como se fosse um executável comum.

O primeiro parâmetro para rundll32 é um nome de arquivo e nome de função (separados por uma vírgula). Portanto, significa "carregar o arquivo DLL \abc.abc (sim, essa barra invertida é apenas parte de um caminho de arquivo) e executar a função ABcPrS nele". (Se mais texto for fornecido depois de um espaço, seria passado como um único parâmetro textual para essa função.)

Nem o nome do arquivo nem o nome da função são codificados de alguma forma. No seu caso, ele literalmente tem um nome gerado aleatoriamente, como se esperaria de um vírus.

E sim, um atalho misterioso que executa um arquivo misterioso com um nome aleatório significa que seu pendrive está infectado. (Os arquivos reais ainda podem estar lá em uma pasta oculta.)