cbs.sys木马，希望SkyGz等高手分析一下，症状是主页hao123劫持 (amobbs.com 阿莫电子技术论坛) -

wye11083 发表于 2013-9-20 21:15:06

cbs.sys木马，希望SkyGz等高手分析一下，症状是主页hao123劫持

参阅上一篇http://www.amobbs.com/forum.php?mod=viewthread&tid=5551961&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline%26orderby%3Ddateline，附件
症状是第一次打开任何浏览器，基本是100%随机打开hao123网页（首页是hao123的可以忽略，跟你们没什么关系）。经过使用XueTr分析，发现消息钩子中的CreateProcess还有一个很重要的被钩了，强行卸载之后没有再出现hao123。用IDA反编译之后，没有发现hao123的代码，却发现了360的代码：
extern wchar_t a360antihacker; // weak
extern wchar_t aHao_360_cn[]; // idb
extern wchar_t aAboutBlank[]; // idb

String2.Length = 26;
String2.MaximumLength = 28;
String2.Buffer = L"360AntiHacker";
Index = 0;
do
{
v3 = (int)KeyInformation;
ResultLength = 0;
if ( ZwEnumerateKey(Handle, Index, 0, KeyInformation, 0x400u, &ResultLength) < 0 )
break;
if ( !ResultLength )
break;
String1.Buffer = (PWSTR)(v3 + 16);
v14 = *(_WORD *)(v3 + 12);
String1.Length = *(_WORD *)(v3 + 12);
String1.MaximumLength = v14;
if ( !RtlCompareUnicodeString(&String1, &String2, 1u) )
{
v52 = 1;
break;
}
++Index;
}
while ( Index < 0x7D0 );
这一段代码看上去是枚举360注册表的东西，还有
if ( !wcsstr(v6, L"hao.360.cn") && !wcsstr(v6, L"about:blank") && !wcsstr(v6, L"http://") )
goto LABEL_10;
这两行似乎是检测360和空白页（注意是空白页，我的主页是空白页）之后拦截并修改成hao123的主页。还有一行：
sub_11C74((int)&v47, 32, (int)"Sep 18 2013 13:03:00");
确定是18号在某处发出来的。还有个数字签名，被某些人认为是魔法桌面的东西，我认为如果魔法桌面想这样搞，没几个人会注意得到的，因为他们的桌面基本都是hao123的天下。
L"\\Registry\\Machine\\System\\CurrentControlSet\\Services";
访问了服务项。但是不知道是哪个。
push offset aLocation ; "location"
从它总是在检测location这些东西来看，它应该还对所有搜索结果什么的做了替换。
这个地址：xjwmax.zolsearch.com
出现了N次，直接是打不开的。
         unicode 0, <magePath>,0
.text:000147FA ; const WCHAR SourceString
.text:000147FA SourceString dw 44h                ; DATA XREF: sub_116F2+1C5o
.text:000147FA                                     ; sub_11928+16o
.text:000147FC aRvconfig:
.text:000147FC             unicode 0, <rvConfig>,0
.text:0001480E ; char aExplorer_exe[]
.text:0001480E aExplorer_exe db 'explorer.exe',0 ; DATA XREF: sub_11C2A+2Do
.text:0001481B             align 4
.text:0001481C dword_1481C dd 702E6C2Fh, 703F7068h ; DATA XREF: sub_11E80+7Ao
.text:00014824             db 3Dh, 0
.text:00014826 ; char aXjwmax_zolsear[]
.text:00014826 aXjwmax_zolsear db 'xjwmax.zolsearch.com',0 ; DATA XREF: sub_11F34+2B1o
.text:00014826                                     ; sub_14024+F6o ...
.text:0001483B             align 4
.text:0001483C a360antihacker:                      ; DATA XREF: sub_11F34+1B7o
.text:0001483C             unicode 0, <360AntiHacker>,0
.text:00014858 aRegistryMachin:                      ; DATA XREF: sub_11F34+165o
.text:00014858             unicode 0, <\Registry\Machine\System\CurrentControlSet\Services>,0
.text:000148C0 aSep18201313030 db 'Sep 18 2013 13:03:00',0 ; DATA XREF: sub_11F34+EBo
.text:000148D5             align 2
.text:000148D6 word_148D6    dw 2Eh                ; DATA XREF: sub_12A20+Fo
.text:000148D8 aConnectioncont db 'ConnectionContext',0 ; DATA XREF: sub_12C38+67o
.text:000148EA ; WCHAR asc_148EA
.text:000148EA asc_148EA    db '\',0             ; DATA XREF: sub_13772+21Fo
.text:000148EC aLinkage:
这里面看似调用了一大堆东西。
小弟我只能看出这些了，希望大牛们往深了搞一搞，揪出幕后黑手。

SkyGz 发表于 2013-9-20 21:36:59

本帖最后由 SkyGz 于 2013-9-20 21:38 编辑

我说, 你闲得蛋疼啊....揪出了, 你又能怎么样............
有这时间,不如看几部片子...{:lol:}

68336016 发表于 2013-9-20 21:55:27

SkyGz 发表于 2013-9-20 21:36
我说, 你闲得蛋疼啊....揪出了, 你又能怎么样............
有这时间,不如看几部片子......

同时也能撸好几管了

wye11083 发表于 2013-9-20 21:58:51

SkyGz 发表于 2013-9-20 21:36 static/image/common/back.gif
我说, 你闲得蛋疼啊....揪出了, 你又能怎么样............
有这时间,不如看几部片子......

曰，我是要屏蔽相关网站哪。要不然折腾它干吗。找到出处，连带封杀网站。
PS：kerio winroute firewall的网址封杀非常高效。

Nuker 发表于 2013-9-20 22:40:57

比较好奇LZ是怎样中招的{:lol:}{:lol:}{:lol:}

skylly3 发表于 2013-9-22 10:54:37

想找幕后黑手很容易的，不需要看代码了， LZ你贴一下劫持后的hao123的完整网址

wkman 发表于 2013-9-22 10:56:34

{:sweat:} 一经发现，，，ghost 还原，5分钟了事，{:lol:}没时间去折腾！

wwbfred 发表于 2013-9-20 21:15:07

本帖最后由 wwbfred 于 2013-9-23 13:52 编辑

和楼主一样的问题不幸中招。分析来源是来自于zol的下载器。
今天又在skycn中招，静默安装一个叫做天空极速下载器的东西，现在还没来得及做危害分析，国内的下载站真是没法信任了，大家也多多小心。

wye11083 发表于 2013-9-23 13:55:05

wwbfred 发表于 2013-9-23 13:49 static/image/common/back.gif
和楼主一样的问题不幸中招。分析来源是来自于zol的下载器。
今天又在skycn中招，静默安装一个叫做天空极速 ...

呵呵，提醒了我想起来确实是zol的下载器。下载的东西点开是个下载器，还得再点一次。skycn好象是很久以前下载的都是exe了，所以我就再没用过。目前天极网，驱动之家等一些站还是正常的。只能说，艹泥妈，想钱想疯了，靠劫持用户浏览器给自己得到hao123的好处费。

wye11083 发表于 2013-9-23 14:01:58

wwbfred 发表于 2013-9-20 21:15 static/image/common/back.gif
和楼主一样的问题不幸中招。分析来源是来自于zol的下载器。
今天又在skycn中招，静默安装一个叫做天空极速 ...

经google，两天前cbs.sys已经火了。估计和我一样的老鸟们都发现了这个东西，呵呵。zol马上也要火了。看他怎么公关吧。还有个wbl.sys，这个可能就是skycn的东西。

wwbfred 发表于 2013-9-23 14:13:09

wye11083 发表于 2013-9-23 14:01 static/image/common/back.gif
经google，两天前cbs.sys已经火了。估计和我一样的老鸟们都发现了这个东西，呵呵。zol马上也要火了。看他 ...

zol居然用这种方法改主页真是前无古人啊呵呵。。。现在对国内软件站的状况已经彻底怒了。
刚做了系统少两个软件就去这些以前不错的软件站，结果就是这样。也怪我太信任他们了。

wye11083 发表于 2013-9-23 16:35:46

wwbfred 发表于 2013-9-23 14:13 static/image/common/back.gif
zol居然用这种方法改主页真是前无古人啊呵呵。。。现在对国内软件站的状况已经彻底怒了。
刚做了系统少 ...

我本来是不敢点，最后就算试试了，还好，只是劫持个主页。如果在系统里面乱搞，那就麻烦大了。

gallle 发表于 2013-9-23 16:51:22

原来经常用的网站也不敢随便点了，经常莫名就装了东西！{:huffy:}
还是这里最好！

chengtina 发表于 2013-9-23 16:54:14

怎么解决的呢？

cmheia 发表于 2013-11-4 17:33:44

路由器上做了dns劫持，hao123、360等网站都转到127.0.0.1去，无所谓了。

longfeix86 发表于 2013-11-4 18:47:18

上次我的主页也被劫持了，然后杀软换nod32莫名其妙就改过来了

mcuprogram 发表于 2013-11-5 10:46:04

没有安全的东西下了

brentcao 发表于 2013-11-18 20:19:16

不知道去哪儿下东西了哦

页: [1]

amobbs.com 阿莫电子技术论坛's Archiver

cbs.sys木马，希望SkyGz等高手分析一下，症状是主页hao123劫持