cbs.sys木马,希望SkyGz等高手分析一下,症状是主页hao123劫持
参阅上一篇http://www.amobbs.com/forum.php?mod=viewthread&tid=5551961&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline%26orderby%3Ddateline,附件症状是第一次打开任何浏览器,基本是100%随机打开hao123网页(首页是hao123的可以忽略,跟你们没什么关系)。经过使用XueTr分析,发现消息钩子中的CreateProcess还有一个很重要的被钩了,强行卸载之后没有再出现hao123。用IDA反编译之后,没有发现hao123的代码,却发现了360的代码:
extern wchar_t a360antihacker; // weak
extern wchar_t aHao_360_cn[]; // idb
extern wchar_t aAboutBlank[]; // idb
String2.Length = 26;
String2.MaximumLength = 28;
String2.Buffer = L"360AntiHacker";
Index = 0;
do
{
v3 = (int)KeyInformation;
ResultLength = 0;
if ( ZwEnumerateKey(Handle, Index, 0, KeyInformation, 0x400u, &ResultLength) < 0 )
break;
if ( !ResultLength )
break;
String1.Buffer = (PWSTR)(v3 + 16);
v14 = *(_WORD *)(v3 + 12);
String1.Length = *(_WORD *)(v3 + 12);
String1.MaximumLength = v14;
if ( !RtlCompareUnicodeString(&String1, &String2, 1u) )
{
v52 = 1;
break;
}
++Index;
}
while ( Index < 0x7D0 );
这一段代码看上去是枚举360注册表的东西,还有
if ( !wcsstr(v6, L"hao.360.cn") && !wcsstr(v6, L"about:blank") && !wcsstr(v6, L"http://") )
goto LABEL_10;
这两行似乎是检测360和空白页(注意是空白页,我的主页是空白页)之后拦截并修改成hao123的主页。还有一行:
sub_11C74((int)&v47, 32, (int)"Sep 18 2013 13:03:00");
确定是18号在某处发出来的。还有个数字签名,被某些人认为是魔法桌面的东西,我认为如果魔法桌面想这样搞,没几个人会注意得到的,因为他们的桌面基本都是hao123的天下。
L"\\Registry\\Machine\\System\\CurrentControlSet\\Services";
访问了服务项。但是不知道是哪个。
push offset aLocation ; "location"
从它总是在检测location这些东西来看,它应该还对所有搜索结果什么的做了替换。
这个地址:xjwmax.zolsearch.com
出现了N次,直接是打不开的。
unicode 0, <magePath>,0
.text:000147FA ; const WCHAR SourceString
.text:000147FA SourceString dw 44h ; DATA XREF: sub_116F2+1C5o
.text:000147FA ; sub_11928+16o
.text:000147FC aRvconfig:
.text:000147FC unicode 0, <rvConfig>,0
.text:0001480E ; char aExplorer_exe[]
.text:0001480E aExplorer_exe db 'explorer.exe',0 ; DATA XREF: sub_11C2A+2Do
.text:0001481B align 4
.text:0001481C dword_1481C dd 702E6C2Fh, 703F7068h ; DATA XREF: sub_11E80+7Ao
.text:00014824 db 3Dh, 0
.text:00014826 ; char aXjwmax_zolsear[]
.text:00014826 aXjwmax_zolsear db 'xjwmax.zolsearch.com',0 ; DATA XREF: sub_11F34+2B1o
.text:00014826 ; sub_14024+F6o ...
.text:0001483B align 4
.text:0001483C a360antihacker: ; DATA XREF: sub_11F34+1B7o
.text:0001483C unicode 0, <360AntiHacker>,0
.text:00014858 aRegistryMachin: ; DATA XREF: sub_11F34+165o
.text:00014858 unicode 0, <\Registry\Machine\System\CurrentControlSet\Services>,0
.text:000148C0 aSep18201313030 db 'Sep 18 2013 13:03:00',0 ; DATA XREF: sub_11F34+EBo
.text:000148D5 align 2
.text:000148D6 word_148D6 dw 2Eh ; DATA XREF: sub_12A20+Fo
.text:000148D8 aConnectioncont db 'ConnectionContext',0 ; DATA XREF: sub_12C38+67o
.text:000148EA ; WCHAR asc_148EA
.text:000148EA asc_148EA db '\',0 ; DATA XREF: sub_13772+21Fo
.text:000148EC aLinkage:
这里面看似调用了一大堆东西。
小弟我只能看出这些了,希望大牛们往深了搞一搞,揪出幕后黑手。 本帖最后由 SkyGz 于 2013-9-20 21:38 编辑
我说, 你闲得蛋疼啊....揪出了, 你又能怎么样............
有这时间,不如看几部片子...{:lol:} SkyGz 发表于 2013-9-20 21:36
我说, 你闲得蛋疼啊....揪出了, 你又能怎么样............
有这时间,不如看几部片子......
同时也能撸好几管了 SkyGz 发表于 2013-9-20 21:36 static/image/common/back.gif
我说, 你闲得蛋疼啊....揪出了, 你又能怎么样............
有这时间,不如看几部片子......
曰,我是要屏蔽相关网站哪。要不然折腾它干吗。找到出处,连带封杀网站。
PS:kerio winroute firewall的网址封杀非常高效。 比较好奇LZ是怎样中招的{:lol:}{:lol:}{:lol:} 想找幕后黑手很容易的, 不需要看代码了, LZ你贴一下劫持后的hao123的完整网址 {:sweat:} 一经发现,,,ghost 还原,5分钟了事,{:lol:}没时间去折腾! 本帖最后由 wwbfred 于 2013-9-23 13:52 编辑
和楼主一样的问题 不幸中招。分析来源是来自于zol的下载器。
今天又在skycn中招,静默安装一个叫做天空极速下载器的东西,现在还没来得及做危害分析,国内的下载站真是没法信任了,大家也多多小心。 wwbfred 发表于 2013-9-23 13:49 static/image/common/back.gif
和楼主一样的问题 不幸中招。分析来源是来自于zol的下载器。
今天又在skycn中招,静默安装一个叫做天空极速 ...
呵呵,提醒了我想起来确实是zol的下载器。下载的东西点开是个下载器,还得再点一次。skycn好象是很久以前下载的都是exe了,所以我就再没用过。目前天极网,驱动之家等一些站还是正常的。只能说,艹泥妈,想钱想疯了,靠劫持用户浏览器给自己得到hao123的好处费。 wwbfred 发表于 2013-9-20 21:15 static/image/common/back.gif
和楼主一样的问题 不幸中招。分析来源是来自于zol的下载器。
今天又在skycn中招,静默安装一个叫做天空极速 ...
经google,两天前cbs.sys已经火了。估计和我一样的老鸟们都发现了这个东西,呵呵。zol马上也要火了。看他怎么公关吧。还有个wbl.sys,这个可能就是skycn的东西。 wye11083 发表于 2013-9-23 14:01 static/image/common/back.gif
经google,两天前cbs.sys已经火了。估计和我一样的老鸟们都发现了这个东西,呵呵。zol马上也要火了。看他 ...
zol居然用这种方法改主页真是前无古人啊 呵呵。。。现在对国内软件站的状况已经彻底怒了。
刚做了系统少两个软件就去这些以前不错的软件站,结果就是这样。也怪我太信任他们了。 wwbfred 发表于 2013-9-23 14:13 static/image/common/back.gif
zol居然用这种方法改主页真是前无古人啊 呵呵。。。现在对国内软件站的状况已经彻底怒了。
刚做了系统少 ...
我本来是不敢点,最后就算试试了,还好,只是劫持个主页。如果在系统里面乱搞,那就麻烦大了。 原来经常用的网站也不敢随便点了,经常莫名就装了东西!{:huffy:}
还是这里最好! 怎么解决的呢? 路由器上做了dns劫持,hao123、360等网站都转到127.0.0.1去,无所谓了。 上次我的主页也被劫持了,然后杀软换nod32莫名其妙就改过来了 没有安全的东西下了 不知道去哪儿下东西了哦
页:
[1]