本文中所列为“聚搜”九款版本行为分析汇总,其中不同版本混合使用了不同的自我保护技术,标红部分为“聚搜”开发组提供的“聚搜卸载工具”可处理的行为版本,而对于安装了向”C:\WINDOWS\system32\usmt”路径写入文件的“聚搜”用户,一旦使用“聚搜卸载工具”,将会造成误杀系统文件。(初步判断为该工具采用了DOS开发环境,这一目录与Windows系统存在差异,由此导致误杀)
创建目录:(会向目录中创建一个”bak.”的畸形目录)C:\WINDOWS\system32\GSearC:\WINDOWS\system32\JuSouC:\WINDOWS\system32
\JSouC:\WINDOWS\system32\QSou
向以下系统目录写入文件:C:\WINDOWS\system32C:\WINDOWS\system32\usmt\C:\WINDOWS\system32\wins\
篡改以下系统服务:W32TimeseclogonSchedule
创建IE工具条位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
创建IE地址栏挂钩位置:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
创建系统的IE搜索引擎HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search BarHKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant
创建系统服务,且服务有有注入线程到Explorer.EXE的行为。创建系统服务:wdfmgrsvc(服务名前三位随机)路径:C:\WINDOWS\system32\asebrhvh.exe(文件名随机)创建系统服务:upausvce 路径:C:\WINDOWS\System32\tapisrv.dll
新增浏览器辅助对象:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
通过修改注册表中防火墙相关条目达到访问网络不受阻挡:[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]"C:\\WINDOWS\\system32\\wdqiejsk.exe"="
C:\\WINDOWS\\system32\\wdqiejsk.exe:*:Enabled:wdqiejsk" (文件名随机,主要看释放时的文件名)
10、篡改首页:(个别版本的行为)