篡改网页的老流氓

ghostsang

早上开机,发现火绒日志出现了几个恶意网址拦截.就分析了下

火绒拦截

看了下时间, 还每隔10分钟来一次.

svchost

在火绒剑监听里,看到不止网址拦截, 还存在记录文件的情况

流氓exe

写入的文件

写入的文件

删除还显示dll正在被运行

dll

看了下几个的签名,所属公司如下(跑跑跳跳??):

软件所属

拖入IDA 查看了下,涉及url:

URL

访问了下网址,

智能云

修改浏览器列表的数组,被base64加密了 :

浏览器数组

写入服务注册表,用svchost进行启动

然后找到了注册表 :

注册表

现在删除注册表和exe文件,火绒也没有报拦截的日志了(拦截的时间是之前的,发布时间是1点多..).


iocs:
url:
znshuru.com
znyshurufa.com
MD5:
0F4BCF148AB19D2693508C15A7DB7752
DE33FD8E8589E8BCDF9DD98E41AE2622
FC1D9C65C78798C19670CF767455A7C4
DC22DCB337EBDC8850B8F97230DCCA37
7E647BB093A305779E11E48D0A52F70E
7FBD10F03F7081E3EFE54EF3E0A6B90A

温柔的一哥

这样的牛氓行为，我也不知道遇到过多少次了。应该是修改注册表导致的。所以用各种办法都还原不了。所以现在我一直都用360锁定主页！这样它就没法改了。如果不喜欢用360的朋友，可以试试UC浏览器，那个是我见过比较牛叉的浏览器，主页被篡改后，它可以直接拉黑，修复一下即可恢复至之前自己设置的主页！但是我不太喜欢用它，不太适应。其实360还是不错的。缺点就是占用内存比较高。有时候会推广网页游戏，但是也能理解，那为什么360是免费的呢？人家就靠网页游戏吃饭的。没有了网页游戏做支撑，恐怕那么多360的员工估计要重新找工作了。这是360官方说的！

封羽

流痞，这在你们圈内人看来。不过是大佬而已，但是在我们圈外人看来，这就是神

YuGuo3363

布丁桌面老流氓

vvs

学习了.学习学习如何使用工具来pass老流氓行为~!感谢分享.

tzxinqing

大佬，我也受到类似的困扰，如图，请教大佬怎么排查，谢谢。

imhacker

这类购物助手首选chrome商店的，要安全得多。

不爱everyone

布丁跑跑的我也中过，本体是一个什么输入法卸载程序（不知道哪里来的），腾讯不报，后来安了卡巴斯基，被卡巴干掉了

ghostsang

tzxinqing 发表于 2020-4-15 14:42
大佬，我也受到类似的困扰，如图，请教大佬怎么排查，谢谢。

查看注册表\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 排查下是否有有关的注册表项

就是他

支持
来一波

lynxtang

跑跑跳跳真是活泼得一批