技术宅的结界

 找回密码
 立即注册→加入我们

QQ登录

只需一步,快速开始

搜索
热搜: 下载 VB C 实现 编写
查看: 2340|回复: 0
收起左侧

[手杀案例]实战一例查杀新型hao254主页绑架木马后任务栏图标后遗症

[复制链接]

25

主题

114

帖子

1132

积分

用户组: 管理员

UID
113
精华
15
威望
31 点
宅币
852 个
贡献
29 次
宅之契约
0 份
在线时间
96 小时
注册时间
1970-1-1
发表于 2016-11-14 06:21:45 | 显示全部楼层 |阅读模式

欢迎访问技术宅的结界,请注册或者登录吧。

您需要 登录 才可以下载或查看,没有帐号?立即注册→加入我们

x
本文适合有以下情况的用户查阅:
1.已确定无dll注入explorer.exe,没有活动的可疑进程,但是浏览器图标打开却是"http://hao524.com/?r=sgxx&m=xx2"←(这个打开会跳到hao123带推广代码的流氓网站)的用户
解码后是跳转到"https://www.hao123.com/?tn=98538918_s_hao_pg",又或者是类似情况不同本文网址的

2.清理过全部被附加链接的快捷方式但是重新生成或者不久之后又被附加上的

3.使用过部分杀毒软件或者常规手杀方案,仍然没有解决以上问题的,有一定动手能力的用户

前言:非常不幸科学在搞压制的过程中用到的某些临时工具(具体我也不记得是什么了)里面,有某一个带了本文说到的改主页木马
至于是哪个我也不记得了,因为你国流氓作者无下限的,任何非官方软件都有可能被绑这些东西
所以,请尽量使用从官方得到的软件副本,或者已经经过虚拟机以及分析通过的,由可信人员制作的绿化/破解版本→这些大佬一般是不会被你用搜索引擎搜到的

思路引用:
1 http://xinghao.me/2016/03/01/2016-03-01-kill-hao123/

过程:
下文的"资源管理器"问题和各类浏览器(几乎是市面上全部常见的)问题同理,因为它们都被改了((
所以为了节省篇幅我就直接跟踪资源管理器并发文了,处理方式是一样的

事发当时的那批问题软件我已经全部清理干净了
用常规方法清理文件 清理注册表(注册表编辑器搜索你被改的那网址全部删除) 检查计划任务 启动项 服务
检查了内核模块 回调 过滤 以及各种内核钩子 SPI 系统DNS等 均无异常
但是发现任务栏上固定的chrome和资源管理器还是有点不对劲
症状:资源管理器(干净快捷方式)默认应该是打开"库",但是却发现变成了打开"我的文档",桌面的计算机图标可以正常打开计算机
查进程/命令行,发现该资源管理器窗口是以独立进程方式工作(正常情况下用固定在任务栏的方式打开它不会多出现一个进程)
sample: sp20161114_053126.png

发现这个问题之后,我解锁该图标,打开正常的资源管理器(通过桌面计算机图标),尝试重新锁定
结果:问题如故,还是带了尾巴
sp20161114_044709.png

打开procmon,监视"Quick Launch"文件夹的写入,然后重复上述过程,很遗憾的是没有发现除explorer进程以外有第三方或者其他系统进程去写文件

好了,这时感到有点不可思议,求助万能的google
非常幸运我搜到了一篇今年三月发的文↑在上面思路引用
本文其实也只是补充一些清理要点,操作基本与引用一样

打开wmitools(点击下载)(或者同类工具WMI Explorerhttps://wmie.codeplex.com/)
我就以引用的为例子用WMITools说明
点一下那个什么
sp20161114_042633.png
这里直接OK
sp20161114_042544.png
那边的文章操作其实不完全,看图,这三个你都要点进去一次,分别删除
sp20161114_044338.png
还有
sp20161114_042816.png
还有
sp20161114_044427.png

做完以上三步,重启电脑.
然后有可能你跟我一样会发现:图标是不会被改了,但是解锁再重新固定为什么还是有尾巴?
对,这是本文重点,清理完WMI之后的收尾工作

干完WMI之后你必须用某些工具或者自带搜索 全盘搜索"*.lnk"快捷方式
然后对发现的IE 资源管理器 以及各种浏览器的快捷方式进行手工清理 否则你就算是解锁了再固定也会恢复带尾巴的图标

当然有人想问了,为什么会这样,我只能回答微软傻逼
上图
QQ截图20161114060351.png
解释:这图是procmon在我解锁并重新固定资源管理器图标时的记录.这居然不是重新生成一个新的快捷方式,而是什么?你巨硬居然直接从开始菜单里面那个附件复制一份固定到任务栏!!
搞得我跟踪了半天以为是资源管理器本身感染了或者某个控制创建快捷方式的注册表项有问题,害我从光盘里面取出原版explorer.exe替换和暴搜注册表hao524若干次无功而返..
换句话说啊,你开始菜单里面有那些浏览器的项它会直接给你复制那个快捷方式去作为任务栏固定的..

好吧是你赢了巨硬.发现问题之后如图找到那个复制源(C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Windows Explorer.lnk),右键属性查看果然是带尾巴的.去掉,然后解锁重试固定,shift+右键检查,干净了
问题于是解决

以下我提供一些机器上面的路径,读者可以看着去找这些文件看看属性
sp20161114_051154.png
sp20161114_051219.png
sp20161114_051321.png

总结:
现在的木马都是商业为主了,基本没有几年前那些什么磁碟机啊鬼影啊熊猫啊那些搞坏你系统和程序的猛料,这种改主页的老实说它也不是搞得你用不了电脑,就是你中招之后赖着很难发现清理,不小心点了相当于给那些混蛋刷了一次点击
这一次点击是几毛还是几分我不知道,有意可以自己去调查那个推广的价格
科学在这预言未来可能会有驱动级的劫持或者隐藏相关木马本体的情况(干脆做到R0去?)
呸,最后诅咒一下hao123和2345还有一堆用纯数字域名的同类破站不得好死,养活了一群不务正业的想靠流氓手段盈利的饭桶

评分

参与人数 1威望 +5 贡献 +10 收起 理由
cyycoish + 5 + 10 支持!

查看全部评分

*0xAA55站SysOp
任何疑问,直接联系A5

本版积分规则

QQ|申请友链|Archiver|手机版|小黑屋|技术宅的结界 ( 滇ICP备16008837号|网站地图

GMT+8, 2018-7-22 18:55 , Processed in 0.073386 second(s), 19 queries , Gzip On, Memcache On.

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表