天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

来意不善的“聚搜”IE插件分析

2009-3-2天空软件不详
近日,一款名为“聚搜”的IE工具插件因其流氓式的强行安装与强驻电脑等行为,遭到许多网友的痛斥。该软件为了加强自我保护,竟然借鉴和采用了木马技术来武装自己,致使每天有大量用户电脑遭其“强暴”却束手无策。记者从“聚搜”官方网站了解到,这个全名为“IE工具条聚搜搜索”的插件号称“集成了众多知名的搜索引擎及专业网站”,并在多个下载站上以“搜索引擎工具”的名义推荐下载。然而,“请神容易送神难”。网民一旦安装后,原本貌似“良民”并以此蒙骗过下载站认证的“聚搜”插件便会迅速自动升级为恶意版本,就此强赖在用户电脑中。无论是使用聚搜自带的卸载快捷方式,还是手工删除安装文件和注册表键值,都难以将其卸载。用户电脑上的IE浏览器仍会默认调用“聚搜”插件,时不时还有某些网站导航的广告弹出来。

  本文中所列为“聚搜”九款版本行为分析汇总,其中不同版本混合使用了不同的自我保护技术,标红部分为“聚搜”开发组提供的“聚搜卸载工具”可处理的行为版本,而对于安装了向”C:\WINDOWS\system32\usmt”路径写入文件的“聚搜”用户,一旦使用“聚搜卸载工具”,将会造成误杀系统文件。(初步判断为该工具采用了DOS开发环境,这一目录与Windows系统存在差异,由此导致误杀)

  创建目录:(会向目录中创建一个”bak.”的畸形目录)C:\WINDOWS\system32\GSearC:\WINDOWS\system32\JuSouC:\WINDOWS\system32
\JSouC:\WINDOWS\system32\QSou
  向以下系统目录写入文件:C:\WINDOWS\system32C:\WINDOWS\system32\usmt\C:\WINDOWS\system32\wins\
  篡改以下系统服务:W32TimeseclogonSchedule
  创建IE工具条位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
  创建IE地址栏挂钩位置:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
  创建系统的IE搜索引擎HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search BarHKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant
  创建系统服务,且服务有有注入线程到Explorer.EXE的行为。创建系统服务:wdfmgrsvc(服务名前三位随机)路径:C:\WINDOWS\system32\asebrhvh.exe(文件名随机)创建系统服务:upausvce 路径:C:\WINDOWS\System32\tapisrv.dll
  新增浏览器辅助对象:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
  通过修改注册表中防火墙相关条目达到访问网络不受阻挡:[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]"C:\\WINDOWS\\system32\\wdqiejsk.exe"="
C:\\WINDOWS\\system32\\wdqiejsk.exe:*:Enabled:wdqiejsk" (文件名随机,主要看释放时的文件名)
  10、篡改首页:(个别版本的行为)

 

本文来源:天空软件 作者:不详

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行