=================================
注意:此文为技术分析,不带任何偏向立场
由本文反汇编某厂商的病毒文件或曰恶意竞争文件而导致的
任何法律问题,本人一概不负责 by MJ0011
=================================
刚才分析了Yahoo上网助手的34号patch包,找到一些同360安全卫士PK的有意思的东西,便对上网助手的patch感兴趣起来了,想看看之前的33个patch包都是干了什么事呢?其中patch03,04,05,06,09,10,11,16,18,22,07,24,25,26,28,29,32可以下载
其他编号的想必是迫于压力又或是某些不可告人的原因
被撤消了(就象之前分析的patch34) 所以无法下载
patch最早从04年02月01日开始
最新的patch是06年10月10日
见证了3721及其附属产品2年多的流氓史
那么挨个看一下他们分别都干了些什么:
<1>.
03号patch:
日期 01/02/04 13:38:49(注:时间格式:月/日/年,直接从flashget上复制过来的)
主要是对system32driversetchosts也就是系统hosts文件进行恶意篡改,将其 中对3721.net,3721.com的屏蔽修改回来
主要代码截取如下:
push ebx ; FILE *
push 1 ; size_t
push esi ; size_t
push edi ; void *
call ds:fread
and byte ptr [edi+esi], 0
push edi
call sub_1000222B
mov esi, ds:strstr
mov ebx, offset s__3721_com ; ".3721.com"
; x
push ebx ; char *
push edi ; char *
call esi ; strstr
add esp, 1Ch
test eax, eax
jz short loc_100021C8
loc_100021C8: ; ".3721.net"
mov ebx, offset s__3721_net
push ebx ; char *
push edi ; char *
call esi ; strstr
pop ecx
test eax, eax
pop ecx
jz short loc_100021EF
;以上是恢复3721.com和3721.net的屏蔽
loc_100022A7:
push 0
call sub_10002331
test eax, eax
pop ecx
jz short loc_100022BA
offset s_System32Drive ; "system32driversetchosts"
jmp short loc_100022BF
;此处判断操作系统版本并取得不同版本windwos的hosts文件路径
<2>.
04号patch:
日期 01/18/04 10:38:24
04号patch带了一个patch41.dat
该patch和patch34一样,同样会将自己自毁
且代码完全一样
patch41.dat是个加密了的文件,算法有点古怪,我估计是类似“竞争对手网站屏蔽表这样的东西”
<3>.
05号patch
日期 04/22/04 15:07:35
更新一个clsid
<4>.
06号patch
日期 05/13/04 09:58:10
删除SOFTWAREMicrosoftInternet ExplorerActiveX Compatibility下的如下几个键值:
'{B83FC273-3522-4CC6-92EC-75CC86678DA4}'=3721网络实名模块cnsmin.dll
'{4522DBFE-14CD-4A59-AC2A-54BADFDD6D53}'=3721网络实名
'{1B0E7716-898E-48CC-9690-4E338E8DE1D3}'=3721上网助手模块ASSIST.DLL
'{7CA83CF1-3AEA-42D0-A4E3-1594FC6E48B2}'=3721上网助手模块autolive.dll
'{4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686}'=3721中文邮
'{8D898B17-976D-44c1-84E6-AF38842AC9EC}'=3721升级包模块
用于恢复类似 恶意软件清理助手,360SAFE,OPIEA,优化大师等在注册表中对3721部分产品的 插件屏蔽
导致屏蔽失效!
删除屏蔽插件的部分代码:
.data:10002197 loc_10002197:
.data:10002197 push dword ptr [edi]
.data:10002199 lea eax, [ebp+pszSubKey]
.data:1000219F push offset s_SoftwareMicro ; "SOFTWAREMicrosoftInternet ExplorerActiveX Compatibility"
.data:100021A4 push offset s_SS ; "%s%s"
.data:100021A9 push 103h ; size_t
.data:100021AE push eax ; char *
.data:100021AF call ds:_snprintf
.data:100021B5 add esp, 14h
.data:100021B8 lea eax, [ebp+pszSubKey]
.data:100021BE push eax ; pszSubKey
.data:100021BF push 80000002h ; hkey
.data:100021C4 call ds:SHDeleteKeyA
.data:100021CA inc esi
.data:100021CB add edi, 4
.data:100021CE cmp esi, dword_10002028
.data:100021D4 jl short loc_10002197
.data:100021D4
.data:100021D6
.data:100021D6 loc_100021D6:
.data:100021D6 pop edi
.data:100021D7 xor eax, eax
.data:100021D9 pop esi
.data:100021DA leave
.data:100021DB retn
网友评论