[.shellclassinfo]详细解读Desktop.ini 下载本文

内容发布更新时间 : 2024/11/5 11:30:07星期一 下面是文章的全部内容请认真阅读。

\安全\

\关闭浏览器时清空 Internet 临时文件夹\

\不将加密的页面存入硬盘\

\允许来自 CD 的活动内容在我的计算机上运行\

\检查发行商的证书吊销\

\检查下载的程序的签名\

\允许活动内容在我的计算机上的文件中运行\

\启用集成 Windows 身份验证(需要重启动)\

\启动配置文件助理\

\允许运行或安装软件,即使签名无效\

\在安全和非安全模式之间转换时发出警告\

\对无效站点证书发出警告\

\使用 SSL 2.0\

\使用 SSL 3.0\

\检查服务器证书吊销(需要重启动)\

\重定向提交的表单时发出警告\

\使用 TLS 1.0\

\设置\

\使用 HTTP 1.1\

\通过代理连接使用 HTTP 1.1\

\多媒体\

\播放网页中的动画\

\启用自动图像大小调整\

\启用图像工具栏(需要重启动)\

\显示图片\

\显示图像下载占位符\

\智能图像抖动\

\播放网页中的声音\

\播放网页中的视频\

\打印\

\打印背景颜色和图像\

\从地址栏中搜索\

\搜索时\

\显示结果,然后转到最相近的站点\

\只在主窗口中显示结果\

\转到最相近的站点\

\不从地址栏中搜索\

\

\Files\\\\Microsoft Office\\\\OFFICE11\\\\POWERPNT.EXE\PowerPoint\

Office

\从远程位置连接到计算机的桌面并运行应用程序,如同您坐在其控制台前面。\

\

\基础类应用程序\

\Microsoft 基础类应用程序\

\任务栏和「开始」菜单\

\文件夹选项\

\字体\

\管理工具\

\任务计划\

\扫描仪和照相机\

\

\

\

\

\音速启动 - 您的启动专家\

\软件\\\\Mybase\\\\Mybase.exe\

\

\

\

\

\Files\\\\Common Files\\\\Microsoft Shared\\\\OFFICE11\\\\MSOXMLED.EXE\Editor\

\

\文件和文件夹\

\记住每个文件夹的视图设置\

\在我的电脑上显示控制面板\

\在单独的进程中打开文件夹窗口\

\不缓存缩略图\

\在文件夹提示中显示文件大小信息\

\在资源管理器文件夹列表中显示简单文件夹查看\

\隐藏文件和文件夹\

\不显示隐藏的文件和文件夹\

\显示所有文件和文件夹\

\隐藏已知文件类型的扩展名\

\自动搜索网络文件夹和打印机\

\在登录时还原上一个文件夹窗口\

\用彩色显示加密或压缩的 NTFS 文件\

\在标题栏显示完整路径\

\在地址栏中显示完整路径\

\鼠标指向文件夹和桌面项时显示提示信息\

\使用简单文件共享 (推荐)\

\隐藏受保护的操作系统文件(推荐)\

\显示系统文件夹的内容\

\您已选择在 Windows 资源管理器中显示受保护的操作系统文件(标记为系统和隐藏的文件)。这些文件是启动和运行 Windows 所必需的。删除或编辑它们会使您的计算机无法运行。是否显示这些文件?\

\

\我的文档\

☆☆Desktop.ini病毒的介绍

一、简介

该病毒为Windows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒,病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特定的木马或其它病毒,同时病毒运行后枚举内网的所有可用共享,并尝试通过弱口令方式连接感染目标计算机。运行过程过感染用户机器上的可执行文件,造成用户机器运行速度变慢,破坏用户机器的可执行文件,给用户安全性构成危害。病毒主要通过共享目录、文件捆绑、运行被感染病毒的程序、可带病毒的邮件附件等方式进行传播。

二、 病毒行为

1、病毒运行后将自身复制到Windows文件夹下,文件名为:

%SystemRoot%\\rundl132.exe

2、运行被感染的文件后,病毒将病毒体复制到为以下文件:

%SystemRoot%\\logo_1.exe

3、同时病毒会在病毒文件夹下生成:

病毒目录\\vdll.dll

4、病毒从Z盘开始向前搜索所有可用分区中的exe文件,然后感染所有大小27kb-10mb的可执行文件,感染完毕在被感染的文件夹中生成:

_desktop.ini (文件属性:系统、隐藏。)

5、病毒会尝试修改%SysRoot%\\system32\\drivers\\etc\\hosts文件。

6、病毒通过添加如下注册表项实现病毒开机自动运行:

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

\

[HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows]

\