Phím tắt đến rundll32 với đầu vào ẩn

Tôi đã bắt gặp một Windows 7 - khi cắm USB - hiển thị thanh USB trong Máy tính của tôi nhưng thư mục chỉ chứa một phím tắt. Khi truy cập các phím tắt, nội dung thực tế được trình bày.

Phím tắt trông giống như thế này:

C:\Windows\system32\cmd.exe /c start rundll32  \abc.abc,ABcPrS

Phần abcnày là một chuỗi 60 ký tự trong [a-f]phạm vi; hai phần giống hệt nhau (trước dấu chấm và sau dấu chấm); Tôi không đăng chuỗi thực tế vì nó có thể là một vấn đề bảo mật.

Đây ABcPrSlà một chuỗi 16 ký tự với các chữ cái trên và dưới trong [a-zA-Z]phạm vi. Đây trông giống như một mật khẩu với tôi.

Cái này là cái gì Dấu gạch chéo ngược gợi ý một số mã hóa (base64)?

Toàn bộ mục đích của công cụ này là để chạy một phần nhất định của tệp DLL như thể nó là một tệp thực thi thông thường.

Tham số đầu tiên cho rundll32 là tên tệp và tên hàm (được phân tách bằng dấu phẩy). Vì vậy, nó có nghĩa là "tải tệp DLL \abc.abc(vâng, dấu gạch chéo ngược đó chỉ là một phần của đường dẫn tệp) và chạy chức năng ABcPrStrong đó". (Nếu nhiều văn bản được cung cấp sau một khoảng trắng, sẽ được chuyển dưới dạng một tham số văn bản duy nhất cho chức năng đó.)

Cả tên tệp và tên hàm đều không được mã hóa theo bất kỳ cách nào. Trong trường hợp của bạn, nó thực sự có một tên được tạo ngẫu nhiên, như người ta mong đợi từ một loại virus.

Và đúng vậy, một phím tắt bí ẩn chạy một tệp bí ẩn với một tên ngẫu nhiên có nghĩa là thanh USB của bạn bị nhiễm. (Tuy nhiên, các tập tin thực sự vẫn có thể ở đó trong một thư mục ẩn.)