3721(雅虎助手)两年来的流氓升级史

互联网 | 编辑: 杨剑锋 2006-10-12 09:00:00转载一键看全文

<7>.11号patch

日期 06/17/05 12:22:42

该patch启动后会使用rundll32.exe加载自己

创建一个名为3721CNSINSTSHELL_INSTALLMUTEX_PATCH11的互斥对象

然后释放出一个cab文件,里面是压缩后的wmpns.dll,查了一下,是3721反间谍专家的一个附属的dll,有恶意软件性质

并会将CNS的Setup程序写入runonce键值(重启后安装CNS网络实名)

将cnsAutoUpdate写入注册表Run键值(每次开机自动执行更新程序)

部分代码:

push offset s_Rundll32_exeS ; "Rundll32.exe %s,RundllEx"

;安装程序,使用rundll32调用

push 104h ; size_t

push ecx ; char *

call ebx ; _snprintf

lea edi, [esp+754h+pvData]

or ecx, 0FFFFFFFFh

xor eax, eax

add esp, 10h

repne scasb

not ecx

dec ecx

lea edx, [esp+744h+pvData]

push ecx ; cbData

push edx ; pvData

push 1 ; dwType

push offset s_Setup ; "Setup"

push offset s_SoftwareMic_2 ; "SoftwareMicrosoftWindowsCurrentVersi"...

;写入runonce键值

push 80000002h ; hkey

call ds:SHSetValueA

mov esi, 1

<8>.16号patch

16号patch是个非常有意思的东西,它会把这个注册表键值设为"no"

HKCUSoftwareTencentTBHEnableTBH

用来打击腾讯的BHO

将腾讯的浏览器插件设为禁止后

该patch将自毁

为了防止别人发现它修改tencent的键值以带来不必要的麻烦,该PATCH中对注册表部分的读写是加密了的

(呵呵,看了这个之后腾讯会不会去找YAHOO的麻烦呢?)

代码如下:

mov esi, offset s_A709ce5ce8561 ; "A709CE5CE8561FEDE4"

lea edi, [ebp+pszValue]

movsd

movsw

movsb

push 3Ch

xor eax, eax

pop ecx

lea edi, [ebp+var_F5]

rep stosd

stosb

push 0Ah

mov esi, offset s_B108c94af3523 ; "B108C94AF35239CAF0C2B5588CFFD3B4DB1B2FC"...

pop ecx

lea edi, [ebp+pszSubKey]

rep movsd

movsb

push 36h

xor eax, eax

pop ecx

lea edi, [ebp+var_1E3]

rep stosd

stosw

stosb

mov esi, 82h

lea eax, [ebp+pszValue]

push esi ; int

push eax ; char *

call sub_10001067

lea eax, [ebp+pszSubKey]

push esi ; int

push eax ; char *

call sub_10001067

mov esi, offset s_No ; "no"

lea edi, [ebp+pvData]

movsw

movsb

push 40h

xor eax, eax

pop ecx

lea edi, [ebp-411h]

rep stosd

stosb

lea eax, [ebp+pvData]

push eax ; char *

call strlen

add esp, 14h

push eax ; cbData

lea eax, [ebp+pvData]

push eax ; pvData

lea eax, [ebp+pszValue]

push 1 ; dwType

push eax ; pszValue

lea eax, [ebp+pszSubKey]

push eax ; pszSubKey

push 80000001h ; hkey

call ds:SHSetValueA

其中sub_10001067子程序就是将B108C94AF35239CAF0C2B5588CFFD3B4DB1B2FC与 A709CE5CE8561FEDE4进行解密,从而得到HKCUSoftwareTencentTBHEnableTBH这个注册表路径

然后对其写入键值:no

起到禁止腾讯bho的作用

更有意思的是我发现了一篇文章:《!腾讯流氓覆灭记!》其中所说的方法和这个patch完全一致,呵呵不知两者有何关联

提示：试试键盘 “← →” 可以实现快速翻页

总共 4 页< 上一页 1 2 3 4 下一页 >

一键看全文

本文导航

每日精选

ROG游戏手机9系列新品发布会直播

ROG游戏手机9系列11月19日19:00新品发布，反正超AI玩！等你来看！

标签：游戏手机| ROG9| 发布会| 直播| 2024-11-19
红魔10 Pro上手体验：风扇加持，堪称游戏党梦中情机

红魔10 Pro以独特的设计、出色的性能与稳定的影像表现，成为当前电竞旗舰手机中的佼佼者。它不仅是行业中少有的背部纯平设计，搭配6.85寸全面屏，带来极具视觉冲击的体验，整体外观显得更加规整、精致。

标签：红魔| 10| Pro| 带来| 极致| 2024-11-19
OPPO Pad 3即将登场 2.8K原彩仿书柔光屏，学生党必备

OPPO发布了OPPO Pad 3平板新品的外观图，拥有星轨亮银、霞光紫、夜幕蓝、三个配色。

标签： OPPO| OPPOPad3| 平板| 2024-11-15
Q3中国智能盒子线上零售量同比-5.5% 小米市场份额13.1%

2024年第三季度，中国智能盒子线上市场的零售量为31.2万台，同比下降5.5%，环比增长22.0%。

标签：小米| 智能盒子| 2024-11-15
立足中国走向全球 openEuler开源五年装机千万

以“以智能，致世界”为主题的操作系统大会2024在北京中关村国际创新中心召开，本次大会由openEuler社区、全球计算联盟共同主办，旨在汇聚全球产业界力量，推动基础软件根技术持续创新。

标签： openEuleopenEuler社区| 开源| 2024-11-15
极氪亮相广州车展首发浩瀚智驾2.0端到端Plus架构

2024广州国际车展，极氪浩瀚智驾2.0首发面向高阶智驾的端到端Plus架构，让“智驾更类人、人驾更省心”。同时，极氪携旗下全系车型亮相广州车展，打造多场景出行极致体验。

标签：极氪| 广州车展| 浩瀚| 智驾| 2024-11-15
阿维塔11双动力广州车展开启预售 29.99万元起

阿维塔11增程搭载领先一代昆仑增程、宁德时代骁遥超级增混电池等领先技术，为用户带来极致强劲、极致静谧、极致省心的出行体验。

标签：阿维塔| 阿维塔11| 增程| 广州车展| 2024-11-15
创新助力新质人才培养华为擎云高教职教解决方案亮相第62届高博会

华为擎云携自主创新实训室、自主创新GIS教育平台、AR Engine、Vision Glass等智慧教育解决方案参展第62届中国高等教育博览会。

标签：华为| 擎云| 高博会| 教育| 2024-11-15
微星尊爵16 AI+锐龙版2024开售首发12999元

此前微星已经推出了新款尊爵16 AI+锐龙版2024笔记本，搭载了锐龙AI 9 HX 370处理器，首发12999元。

标签：微星| 笔记本| 轻薄本| 2024-11-15
十铨推T-CREATE EXPERT P32移动固态至高16TB超大扩容

十铨科技宣布推出T-CREATE EXPERT P32移动固态硬盘，最高16TB容量可选，打造海量桌面存储空间。

标签：十栓| 移动硬盘| 固态硬盘| 2024-11-16