奇虎360安全中心对“聚搜”进行了分析,下文所列为“聚搜”九款版本行为分析汇总,其中不同版本混合使用了不同的自我保护技术,标粗部分为“聚搜”开发组提供的“聚搜卸载工具”可处理的行为版本,而对于安装了向”C:/WINDOWS/system32/usmt”路径写入文件的“聚搜”用户,一旦使用“聚搜卸载工具”,将会造成误杀系统文件。(初步判断为该工具采用了DOS开发环境,这一目录与Windows系统存在差异,由此导致误杀)
1、创建目录:(会向目录中创建一个”bak.”的畸形目录)C:/WINDOWS/system32/GSear
C:/WINDOWS/system32/JuSou
C:/WINDOWS/system32/JSou
C:/WINDOWS/system32/QSou
2、向以下系统目录写入文件:
C:/WINDOWS/system32
C:/WINDOWS/system32/usmt/
C:/WINDOWS/system32/wins/
3、篡改以下系统服务:
W32Time
seclogon
Schedule
4、创建IE工具条位置:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Toolbar
5、创建IE地址栏挂钩位置:
HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/URLSearchHooks
6、创建系统的IE搜索引擎HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Search Bar
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Search/SearchAssistant
7、创建系统服务,且服务有有注入线程到Explorer.EXE的行为。
创建系统服务:wdfmgrsvc(服务名前三位随机)
路径:C:/WINDOWS/system32/asebrhvh.exe(文件名随机)
创建系统服务:upausvce
路径:C:/WINDOWS/System32/tapisrv.dll
8、新增浏览器辅助对象:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects
9、通过修改注册表中防火墙相关条目达到访问网络不受阻挡:[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/SharedAccess/Parameters/FirewallPolicy/StandardProfile/AuthorizedApplications/List]
"C://WINDOWS//system32//wdqiejsk.exe"="C://WINDOWS//system32//wdqiejsk.exe:*:Enabled:wdqiejsk" (文件名随机,主要看释放时的文件名)
10、篡改首页:(个别版本的行为)http://www.jusou.net/go.asp
网友评论