WEB开发网
开发学院网络安全安全技术 来意不善的“聚搜”IE插件分析 阅读

来意不善的“聚搜”IE插件分析

 2009-03-03 13:53:56 来源:WEB开发网   
核心提示:近日,一款名为“聚搜”的IE工具插件因其流氓式的强行安装与强驻电脑等行为,来意不善的“聚搜”IE插件分析,遭到许多网友的痛斥,该软件为了加强自我保护,由此导致误杀)创建目录:(会向目录中创建一个”bak.”的畸形目录)C:\WINDOWS\system32\GSearC:

近日,一款名为“聚搜”的IE工具插件因其流氓式的强行安装与强驻电脑等行为,遭到许多网友的痛斥。该软件为了加强自我保护,竟然借鉴和采用了木马技术来武装自己,致使每天有大量用户电脑遭其“强暴”却束手无策。记者从“聚搜”官方网站了解到,这个全名为“IE工具条聚搜搜索”的插件号称“集成了众多知名的搜索引擎及专业网站”,并在多个下载站上以“搜索引擎工具”的名义推荐下载。然而,“请神容易送神难”。网民一旦安装后,原本貌似“良民”并以此蒙骗过下载站认证的“聚搜”插件便会迅速自动升级为恶意版本,就此强赖在用户电脑中。无论是使用聚搜自带的卸载快捷方式,还是手工删除安装文件和注册表键值,都难以将其卸载。用户电脑上的IE浏览器仍会默认调用“聚搜”插件,时不时还有某些网站导航的广告弹出来。

本文中所列为“聚搜”九款版本行为分析汇总,其中不同版本混合使用了不同的自我保护技术,标红部分为“聚搜”开发组提供的“聚搜卸载工具”可处理的行为版本,而对于安装了向”C:\WINDOWS\system32\usmt”路径写入文件的“聚搜”用户,一旦使用“聚搜卸载工具”,将会造成误杀系统文件。(初步判断为该工具采用了DOS开发环境,这一目录与Windows系统存在差异,由此导致误杀)

创建目录:(会向目录中创建一个”bak.”的畸形目录)C:\WINDOWS\system32\GSearC:\WINDOWS\system32\JuSouC:\WINDOWS\system32

\JSouC:\WINDOWS\system32\QSou

向以下系统目录写入文件:C:\WINDOWS\system32C:\WINDOWS\system32\usmt\C:\WINDOWS\system32\wins\

篡改以下系统服务:W32TimeseclogonSchedule

创建IE工具条位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

创建IE地址栏挂钩位置:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

创建系统的IE搜索引擎HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search BarHKEY_LOCAL_MACHINE\

SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant

创建系统服务,且服务有有注入线程到Explorer.EXE的行为。创建系统服务:wdfmgrsvc(服务名前三位随机)路径:C:\WINDOWS\system32\asebrhvh.exe(文件名随机)创建系统服务:upausvce 路径:C:\WINDOWS\System32\tapisrv.dll

新增浏览器辅助对象:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

通过修改注册表中防火墙相关条目达到访问网络不受阻挡:[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\

StandardProfile\AuthorizedApplications\List]"C:\\WINDOWS\\system32\\wdqiejsk.exe"="

C:\\WINDOWS\\system32\\wdqiejsk.exe:*:Enabled:wdqiejsk" (文件名随机,主要看释放时的文件名)

10、篡改首页:(个别版本的行为)

Tags:来意 不善 IE

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接