点饭的百度空间
银牌会员
积分 2315
发帖 2236
注册 2007-11-30
|
#1 [分析] 搜狗浏览器点击360弹窗 微点拦截未知间谍
搜狗浏览器修改360安全卫士默认浏览器修改拦截弹框判断结果被微点报为木马
作者:ooxxvsxxoo 2009-12-18 13:50
使用搜狗拼音的时候提示下载安装搜狗浏览器, 一时好奇, 装一个呗.
装完后机器上的微点报有木马, 仔细一看报的是搜狗浏览器主进程生成的一个tmp文件.
这是咋回事情呢? 自己的机器一直很干净, 不可能被感染啊...
IDA此TMP...
嗯 call sub_4011C3, 点进去看看.
if ( SHGetFolderPathW(0, 38, 0, 0, &String2) )
lstrcpyW(&String2, L"C:\\Program Files");
lstrcpyW(&Data, &String2);
lstrcatW(&Data, L"\\360\\360se3\\360SE.exe");
hKey = 0;
if ( !RegOpenKeyW(HKEY_CLASSES_ROOT, L"Applications\\360SE.exe\\shell\\open\\command", &hKey) )
{
cbData = 260;
RegQueryValueExW(hKey, 0, 0, 0, (BYTE *)&Data, &cbData);
}
lstrcpyW(&String1, &String2);
lstrcatW(&String1, L"\\Internet Explorer\\iexplore.exe");
v13 = &String1;
v14 = L"notepad.exe";
v15 = L"calc.exe";
v16 = L"cmd.exe";
v17 = L"regedit.exe";
v18 = L"ctfmon.exe";
v19 = L"osk.exe";
v20 = L"explorer.exe";
v21 = &Data;
v2 = 0;
do
{
wsprintfW(&CommandLine, L"\"%s\"", (&v14)[2 * v2]);
v4 = 68;
v3 = &StartupInfo;
do
{
LOBYTE(v3->cb) = 0;
v3 = (struct _STARTUPINFOW *)((char *)v3 + 1);
--v4;
}
while ( v4 );
StartupInfo.cb = 68;
v6 = 16;
v5 = &ProcessInformation;
do
{
LOBYTE(v5->hProcess) = 0;
v5 = (struct _PROCESS_INFORMATION *)((char *)v5 + 1);
--v6;
}
while ( v6 );
result = CreateProcessW(0, &CommandLine, 0, 0, 0, 0x8000004u, 0, 0, &StartupInfo, &ProcessInformation);
if ( result )
{
result = sub_401000(ProcessInformation.hProcess, ProcessInformation.hThread, lpBuffer, a2);
if ( (_BYTE)result )
return result;
result = TerminateProcess(ProcessInformation.hProcess, 0);
}
++v2;
}
while ( v2 < 9 );
return result;
}
哈哈 强大的F5啊.
原来搜狗和360开战了, 判断下有没有\\360\\360se3\\360SE.exe 360安全浏览器.
如果有的话就调用这些系统进程.
v14 = L"notepad.exe";
v15 = L"calc.exe";
v16 = L"cmd.exe";
v17 = L"regedit.exe";
v18 = L"ctfmon.exe";
v19 = L"osk.exe";
v20 = L"explorer.exe";
然后
if ( NumberOfBytesWritten == 12
&& (WriteProcessMemory(v9, lpStartAddress, dword_403010, 0x40u, &NumberOfBytesWritten), NumberOfBytesWritten == 64)
&& (WriteProcessMemory(v9, v16, lpBuffer, v5, &NumberOfBytesWritten), NumberOfBytesWritten == v5)
&& (v10 = (DWORD)lpStartAddress, CreateRemoteThread(v9, 0, 0, lpStartAddress, 0, 0, 0)) )
{
Context.ContextFlags = 65599;
if ( GetThreadContext(hThread, &Context) )
{
Context.Eip = v10;
SetThreadContext(hThread, &Context);
ResumeThread(hThread);
}
result = 1;
}
嗯 GetThreadContext WriteProcessMemory 猥琐流 改变notepad.exe等的程序执行, 怪不得会被微点报木马了.
v29 = GetProcAddress(v13, "SendInput");
搜狗费了这么大的劲来改变notepad.exe的执行顺序, 想干嘛呢?
功力不够, 看不出来了 还是试试看吧.
不懈努力下, 终于搞明白了.
注意图中的红圈, 那是鼠标点击动作.
《搜狗浏览器点击360弹窗》 视频:http://www.tudou.com/programs/view/iD9jtUfeLTs
原来搜狗在用Sendinput点击卫士的默认浏览器修改弹窗.
唉... 有这精力干点啥不好, 非得去攻击别人的软件, 得 被微点报木马了吧.
赶紧卸载先了...
tmp 文件下载地址, 有兴趣的牛人们可以自己看看, 很好玩.
hXXp://www.fileupyours.com/view/269795/xx.zip
(文件链接现已失效)
最近读者: 360_aijevol 360_MJ0011
| |
※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint |
|
|
2010-2-6 14:20 |
|
统一天下
禁止发言
积分 348
发帖 348
注册 2010-2-2
|
#2
恩,搜狗浏览器很早就这样干了. 流氓,非常无耻!
还有个什么计划任务天天升级来着,和QQ输入法作对的
| |
※ ※ ※ 本文纯属【统一天下】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-6 19:12 |
|
magicface
中级用户
积分 340
发帖 347
注册 2009-3-8
来自 首都
|
#3
浏览器我用AVANT
输入法我用谷歌拼音
实在无法相信国产的。
| |
※ ※ ※ 本文纯属【magicface】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
创世之初,天是混沌,大地是黑暗。神的灵游于水面,神说:“要有光。”就有了光。 |
|
|
|
2010-2-6 22:17 |
|
统一天下
禁止发言
积分 348
发帖 348
注册 2010-2-2
|
#4
| Quote: | Originally posted by magicface at 2010-2-6 22:17:
浏览器我用AVANT
输入法我用谷歌拼音
实在无法相信国产的。 |
|
谷歌更坏,盗用搜狗的词库。使用ROOT检测发现里面的字体库根都是一样的。
要相信一句话:天下乌鸦一般黑。没有谁绝对的好和绝对的坏。
没有永恒的朋友,只有永恒的利益。任何国家都是一样的。
| |
※ ※ ※ 本文纯属【统一天下】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-6 22:19 |
|
f8312519
银牌会员
积分 2184
发帖 2169
注册 2008-10-27
来自 维创论坛
|
|
|
2010-2-7 00:50 |
|
isshine
注册用户
积分 184
发帖 184
注册 2009-7-22
|
#6
直接用ie
换浏览可能不兼容,还冲突
少看不健康网站,防御好才是王道
| |
※ ※ ※ 本文纯属【isshine】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-7 11:39 |
|
|
