现在的IE广告、弹窗、QQ消息等愈演愈烈,应该要好好诊治这个现象了2006-11-08 14:13案例列举部分行为:
QQ消息
WinDir\rundll.exe
WinDir\killme.bat
Software\Microsoft\Windows\CurrentVersion\Run
开机弹窗
WinDir\csrss.exe
WinDir\killme.bat
Software\Microsoft\Windows\CurrentVersion\Run
创建链接快捷方式到收藏夹
USERPROFILE\Favorites\url [InternetShortcut]
设置主页
Software\Microsoft\Internet Explorer\Main\
Start Page
Software\Policies\Microsoft\Internet Explorer\Policies\Microsoft\Internet Explorer\Control Panel\
HomPage禁用主页修改属性
自动点广告
WinDir\services.exe
WinDir\killme.bat
Software\Microsoft\Windows\CurrentVersion\Run
创建链接快捷方式到收藏夹
USERPROFILE\Favorites\url [InternetShortcut]
超级开机弹窗popwin
添加服务
“为系统提供加速启动功能”
delme.bat
Software\Microsoft\Windows\CurrentVersion\Run\
终止以下安全软件服务(进程)
qqkav agentsvr frogagent kvxp kvsrvxp kregex trojdie kvcenter kvmon uihost KVSrvXP_1 KVSrvXP KvXP KVMonXP vsmon vptray rtvscan Navap Norton Symantec webscanx vsstat vshwin32 alogserv avsynmgr avconsol Iparmor KWatch KPfwSvc KMailMon KavPFW KAVStart KAVSvc KULANSyn KPopMon KWatchUI KAVPlus rfwsrv RAVMON rfwmain RAVTIMER RAV.exe RavStub Ravmond CCENTER RsCCenter SharedAccess
IE广告
主要是添加了BHO
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper
Objects\
HKCR\CLSID\
HKCR\
对应的BHO名及CLSID,在CLSID处设置了键值守护
注册BHO组件iebhook.dll(iebhook.dll.dll)
注:有些是加壳下载的,与上面行为类似,添加规则突破AVP主动防御、主动防护技术
------------------------------------------------------------------
ShellExecuteHooks也是比较难缠的
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
最近的Ad1.exe(假QQ迷你首页&37ss.com/index20.htm)更是替换掉了系统服务文件
------------------------------------------------------------
现在的IE广告、弹窗、QQ消息等,用的技术越来越接近病毒了,愈来愈扰乱人们的视线了,还带来了木马下载,真是可恨。。。。。。
找找相似的案例吧:-)
原贴:
http://hi.baidu.com/killvir/blog/item/06176c81202d52d8bc3e1eb4.html
