Win10/Win11如何删除search-ms URI搜索协议相关的注册表项?

Trustwave 安全公司发现恶意黑客利用 Windows Search 协议（search-ms URI）进行恶意软件传播的尝试，其目标是远程服务器上的批处理文件。

新的文章如下：Windows Search 协议提供了一种方法来实现对文件和资源的快速搜索，而无需使用传统的命令行界面。应用程序可以通过调用此协议来进行指定的搜索，从而更快地查找所需的信息。这种统一资源标识符（URI）接口使得用户能够更轻松地访问和管理其设备中的所有内容。

尽管默认情况下 Windows 搜索仅查看本地设备的索引，但它还支持通过更改设置查询远程主机上共享的数据，并自定义搜索窗口中的标题。

Trustwave 报告指出，Windows Search 可被利用来分发恶意软件。

一篇关于如何识别并避免受攻击性电子邮件的文章已出现在网络上。标题为“Trustwa ve： 注意到一封伪装成发票文档的HTML附件”，文章中指出：一封包含一个看似合法的HTML附件的邮件，被巧妙地包装在一个小的ZIP压缩包中。这种格式可以逃避安全扫描仪和AV检测系统，因为它无法解析压缩包中的恶意内容。请注意这封受攻击性电子邮件，并保持警惕以防止信息泄露或更严重的网络犯罪活动。

HTML 文件使用<meta http-equiv="refresh"> 标记，让浏览器在打开 HTML 文档时自动打开恶意 URL。

为了确保网页的正常显示和功能，建议定期检查浏览器的设置以避免出现重定向问题。如遇到无法跳转的情况，可以尝试使用元刷新功能或手动点击锚标签，但请注意安全风险，选择可信网站，并谨慎处理任何指向恶意URL的链接。

攻击者通过以下参数，在远程主机上执行搜索： Query: 搜索标有“INVOICE”的项目。Crumb：指定搜索范围，通过 Cloudflare 指向恶意服务器。Displayname: 将搜索显示重新命名为 "下载"，以模仿合法界面。Location: 使用 Cloudflare 的隧道服务掩盖服务器，将远程资源显示为本地文件，让其看起来合法。

当您发现与发票相关的快捷方式时，请不要点击。这可能是恶意软件，试图将您的系统感染或引导远程攻击。建议立即联系网络安全专家以获取专业意见和安全防护措施。

在防范安全风险方面，Trustwave 建议采取措施，即通过执行删除与 search-ms / search URI 协议关联的注册表项这一操作来缓解潜在威胁。

reg delete HKEY_CLASSES_ROOTsearch /freg delete HKEY_CLASSES_ROOTsearch-ms /f