来意不善的“聚搜”IE插件分析

近日，一款名为“聚搜”的IE工具插件因其流氓式的强行安装与强驻电脑等行为，遭到许多网友的痛斥。该软件为了加强自我保护，竟然借鉴和采用了木马技术来武装自己，致使每天有大量用户电脑遭其“强暴”却束手无策。记者从“聚搜”官方网站了解到，这个全名为“IE工具条聚搜搜索”的插件号称“集成了众多知名的搜索引擎及专业网站”，并在多个下载站上以“搜索引擎工具”的名义推荐下载。然而，“请神容易送神难”。网民一旦安装后，原本貌似“良民”并以此蒙骗过下载站认证的“聚搜”插件便会迅速自动升级为恶意版本，就此强赖在用户电脑中。无论是使用聚搜自带的卸载快捷方式，还是手工删除安装文件和注册表键值，都难以将其卸载。用户电脑上的IE浏览器仍会默认调用“聚搜”插件，时不时还有某些网站导航的广告弹出来。

本文中所列为“聚搜”九款版本行为分析汇总，其中不同版本混合使用了不同的自我保护技术，标红部分为“聚搜”开发组提供的“聚搜卸载工具”可处理的行为版本，而对于安装了向”C:\WINDOWS\system32\usmt”路径写入文件的“聚搜”用户，一旦使用“聚搜卸载工具”，将会造成误杀系统文件。（初步判断为该工具采用了DOS开发环境，这一目录与Windows系统存在差异，由此导致误杀）

创建目录：(会向目录中创建一个”bak.”的畸形目录)C:\WINDOWS\system32\GSearC:\WINDOWS\system32\JuSouC:\WINDOWS\system32

\JSouC:\WINDOWS\system32\QSou

向以下系统目录写入文件：C:\WINDOWS\system32C:\WINDOWS\system32\usmt\C:\WINDOWS\system32\wins\

篡改以下系统服务：W32TimeseclogonSchedule

创建IE工具条位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

创建IE地址栏挂钩位置:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

创建系统的IE搜索引擎HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search BarHKEY_LOCAL_MACHINE\

SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant

创建系统服务，且服务有有注入线程到Explorer.EXE的行为。创建系统服务：wdfmgrsvc(服务名前三位随机)路径：C:\WINDOWS\system32\asebrhvh.exe(文件名随机)创建系统服务:upausvce 路径：C:\WINDOWS\System32\tapisrv.dll

新增浏览器辅助对象:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

通过修改注册表中防火墙相关条目达到访问网络不受阻挡：[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\

StandardProfile\AuthorizedApplications\List]"C:\\WINDOWS\\system32\\wdqiejsk.exe"="

C:\\WINDOWS\\system32\\wdqiejsk.exe:*:Enabled:wdqiejsk" （文件名随机，主要看释放时的文件名）

10、篡改首页：（个别版本的行为）