奇虎360安全中心对“聚搜”进行了分析,下文所列为“聚搜”九款版本行为分析汇总,其中不同版本混合使用了不同的自我保护技术,标粗部分为“聚搜”开发组提供的“聚搜卸载工具”可处理的行为版本,而对于安装了向”C:/WINDOWS/system32/u *** t”路径写入文件的“聚搜”用户,一旦使用“聚搜卸载工具”,将会造成误杀系统文件。(初步判断为该工具采用了DOS开发环境,这一目录与Windows系统存在差异,由此导致误杀)
1、创建目录:(会向目录中创建一个”bak.”的畸形目录)C:/WINDOWS/system32/GSear
C:/WINDOWS/system32/JuSou
C:/WINDOWS/system32/ *** ou
C:/WINDOWS/system32/QSou
2、向以下系统目录写入文件:
C:/WINDOWS/system32
C:/WINDOWS/system32/u *** t/
C:/WINDOWS/system32/wins/
3、篡改以下系统服务:
W32Time
seclogon
Schedule
4、创建IE工具条位置:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Toolbar
5、创建IE地址栏挂钩位置:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/URLSearchHooks
6、创建系统的IE搜索引擎HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Search Bar
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Search/SearchAssistant
7、创建系统服务,且服务有有注入线程到Explorer.EXE的行为。
创建系统服务:wdfmgrsvc(服务名前三位随机)
路径:C:/WINDOWS/system32/asebrhvh.exe(文件名随机)
创建系统服务:upausvce
路径:C:/WINDOWS/System32/tapisrv.dll
8、新增浏览器辅助对象:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects
9、通过修改注册表中防火墙相关条目达到访问 *** 不受阻挡:[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]
"C://WINDOWS//system32//wdqiejsk.exe"="C://WINDOWS//system32//wdqiejsk.exe:*:Enabled:wdqiejsk" (文件名随机,主要看释放时的文件名)
10、篡改首页:(个别版本的行为)http://www.jusou.net/go.asp
<-- /正文 --><-- 分页上面文字连广告 -->
被黑主要分为以下几种情况: 情况一:赢了钱以后,黑网不给你出款,理由是系统审核。 情况二:赢了钱以后,黑网黑网还是不给你出款,理由还是和上次一样,只不过是换汤不换药罢了,他们会...
在移动互联网时代,越来越多的企业选择向员工发送手机和微信,一方面,他们可以随时检查员工和顾客之间沟通的质量,另一方面,员工离开办公室的时候,即使不带出客户的数据也可以保持。但这真的可以同步监控到员工的...
有没有办法监控对方微信聊天记录 怎么才能破解我老公微信聊天记录FF 日前,2019年国家网络安全宣传周山东省活动在济南启动。期间,山东省公安厅有关部门通报了10起典型案例。 按照公安部关于打击整治...
随着各种各样的移动支付不断普及,人们已经习惯于用支付宝和微信进行支付了,这样的广泛使用也让我们或多或少的对于APP的安全性有着某些疑虑。因为我们不管说是零钱还是绑定的卡里面都有不少的钱,那我们如何操作...
fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/co...
互联网时代怎么保护个人信息,教你不做信息时代的“透明人”,在消息时代大踏步进步的本日,人们在享用消息社会带来的智能、高效、方便的同时,也对本人的片面消息平安…深感忧愁。“消息裸奔”让人们成为“通明人”...