技术报告:“聚搜”IE插件技术分析

访客4年前黑客资讯306

奇虎360安全中心对“聚搜”进行了分析,下文所列为“聚搜”九款版本行为分析汇总,其中不同版本混合使用了不同的自我保护技术,标粗部分为“聚搜”开发组提供的“聚搜卸载工具”可处理的行为版本,而对于安装了向”C:/WINDOWS/system32/u *** t”路径写入文件的“聚搜”用户,一旦使用“聚搜卸载工具”,将会造成误杀系统文件。(初步判断为该工具采用了DOS开发环境,这一目录与Windows系统存在差异,由此导致误杀)

1、创建目录:(会向目录中创建一个”bak.”的畸形目录)C:/WINDOWS/system32/GSear
C:/WINDOWS/system32/JuSou
C:/WINDOWS/system32/ *** ou
C:/WINDOWS/system32/QSou

2、向以下系统目录写入文件:
C:/WINDOWS/system32
C:/WINDOWS/system32/u *** t/
C:/WINDOWS/system32/wins/

3、篡改以下系统服务:
W32Time
seclogon
Schedule

4、创建IE工具条位置:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Toolbar

5、创建IE地址栏挂钩位置:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/URLSearchHooks

6、创建系统的IE搜索引擎HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Search Bar
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Search/SearchAssistant

7、创建系统服务,且服务有有注入线程到Explorer.EXE的行为。
创建系统服务:wdfmgrsvc(服务名前三位随机)
路径:C:/WINDOWS/system32/asebrhvh.exe(文件名随机)
创建系统服务:upausvce 
路径:C:/WINDOWS/System32/tapisrv.dll

8、新增浏览器辅助对象:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects

9、通过修改注册表中防火墙相关条目达到访问 *** 不受阻挡:[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]
"C://WINDOWS//system32//wdqiejsk.exe"="C://WINDOWS//system32//wdqiejsk.exe:*:Enabled:wdqiejsk" (文件名随机,主要看释放时的文件名)

10、篡改首页:(个别版本的行为)http://www.jusou.net/go.asp

<-- /正文 --><-- 分页上面文字连广告 -->

标签: 好话题

相关文章

黑客教你定位手机位置(黑客通过定位软件找人)_手机定位找人

有没有可能,当你更改手机和密码时,对方会继续跟踪破解密码,了解你的手机操作情况?这是可能的,但这需要很多前提。如果对方是真正的黑客,其实如果他们做了这样的事情,不管他们叫什么,都应该叫黑客。对方可以利...

怎么偷偷同步老婆微信?查看老婆的聊天记录要下什么软件

他们大多数有稳定的收入和漂亮的外表,但他们还没有结婚。 有些人甚至没有异议。 广西的吴先生今年29岁,他已经到了独立的年龄。 他从事批发生意已经多年了,到目前为止他还没有女朋友,他的家人都很担心。 有...

浏览器记住的密码是怎么泄露的你可能不知道_中华网

如今,各种网站都要求用户在使用相应的资源和服务之前注册自己的账户。出于方面考虑,许多人习惯于在本地浏览器中选择记住密码。可以在不重复输入帐户密码的情况下完成下一次登录。同时,这也带来了安全风险,让我们...

先办事黑客在线接单(先办事后付款黑客)_好平台推荐

题记:但凡发生事故,家属情绪就没有不稳定的。每一个死者家属,除了演好一个情绪稳定的人,别无选择。 5月16日下午,甘肃定西市临洮县的洮河河道内,发生了一家四口溺水失踪的事故。 接警以后...

不收定金的高手联系方式(真正的黑客是不拿定金的吗)

不收定金的高手联系方式(真正的黑客是不拿定金的吗)

据外媒,美国最大的医疗服务机构之一最近遭到了勒索软件攻击,全国各地包括加州和佛罗里达州的多家UHS机构的电脑和电话系统中招。目前尚不清楚勒索软件攻击对患者护理产生了什么影响。 据知情人士...

微信聊天记录删除到底能否恢复?官方回应_我和

针对忘记密码、安全提醒、冻结账号、恢复聊天记录等高频提问,今天微信官方进行了详细整理。 微信强调,由于聊天记录涉及用户隐私,微信服务器不会保存用户任何聊天记录。如果未对聊天记录进行迁移和备份,删...