技术分享 Pubwin&信佑增值广告简单剖析 [复制链接]

az_mier
网站编辑
技术中心 26548 0 2016-6-17 00:48:26
本帖最后由 az_mier 于 2016-6-17 00:57 编辑

1.开机必须用身份证卡号登入,管理员登入有可能不加载广告!
01.jpg

2.随机打开了几个网页,发现网页右下角有弹窗广告.
02.jpg

03.jpg
3.接着用进程管理器定位窗口进程,发现窗口是直接从360chrome.exe浏览器启的

(这里少一张图,忘记截图咯了)

4.看来是浏览器被加载了恶意DLL文件哟,接着继续查看360chrome.exe加载的模块,发现一个未签名可疑DLL,版本16.4.15.3
04.jpg
5.查到路径是C:\windows\5AgZ5.dll, 尝试改名一下,提示如下
05.jpg
6.看来还有其他程序加载了5AgZ5.dll,继续使用软件查找功能
06.jpg

7.查看系统进程发现有两个lsass.exe进程哟,这里可以看出PID:3480的lsass.exe是由当前用户创建的,所以肯定是个冒牌货,正常的系统进程用户名应该是:SYSTEM
07.jpg
08.jpg
8.接下来尝试用Windows管理器结束掉lsass.exe进程,果然够流氓!
888.jpg
9.还是简单点得用第三方软件来搞定它!
09.jpg
10.冒牌lsass.exe进程结束掉了,成功改名5AgZ5.dll
010.jpg
11.再次打开浏览器,DLL加载项没有哟,弹窗广告也消失咯!!
011.jpg
012.jpg

12.那么接下来分析分析,到底是谁生成了5AgZ5.dll ,执行了lsass.exe

13.这里查到5AgZ5.dll 和 lsass.exe,都是由Client.exe程序创建的,那么继续追踪看看Client.exe是怎么来的!
013.jpg
014.jpg

14.这里清楚的,记录了Client.exe是由0414ht.exe自解压包创建的
015.jpg
15.看看创建时间都是想吻合的,和桌面图标同一时间生成的,这里基本上可疑断定是Pubwin搞鬼哟,如果没装Pubwin装了信佑可能也会有广告,反正他们是一家的!
016.jpg

017.jpg

16.继续再往上追踪,发现这些都是由System创建的,至于Pubwin是如何提权利用System这个只能由更专业的人士来分析咯
018.jpg

17.还有最近一些用户出现开机直接弹出博彩类网页,不用怀疑,又是他们公司干的!!
019.jpg


18.这里可以看到开机直接360浏览器打开了9990885网页,接下来看看幕后黑手吧
020.jpg
19.这里可以看到360浏览器是直接由父进程PubwiClient.exe来启动的,真是无孔不入
021.jpg

022.jpg


20.好了,先到此为止吧,文章已经很长了,写的都累!估计看得人都想睡着咯!这里先总结一下Pubwin最新广告的行为吧!

Pubwin登入卡号后修改注册表

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

新: 字符串: "http://www.baidu.com/?tn=78040160_28_pg,"

旧: 字符串: "http://www.baidu.com/"

1.Pubwin登入卡后利用SYSTEM系统进程生成 C:\Windows\0416ht.exe自解压包

2.C:\Windows\0416ht.exe解压到路径%ProgramFiles%\temp\ 生成client.exe H.dll I.dll v.dll module.ini hint.dat 文件

3.0416ht.exe解压后静默运行"C:\Program Files (x86)\temp\client.exe" /loader
重新在C:\Windows\6YJCzlCZsC_A(随机目录)\和C:\windows\下分别生成lsass.exe和随机DLL文件
最后再删除%ProgramFiles%\temp\路径下的相关文件!

4.lsass.exe 查找各类浏览器,修改了注册表Appinit_DLLs项,浏览器打开随后就加载了5Agz5.dll广告插件,导致打开浏览器就有增值弹窗广告

5.其实生成的随机文件,全部都是自解压包里面的,因为我对比了他们的MD5发现是一样的!!
023.jpg


6.截止我发稿的时候,又测试了一次,发现今天新浩艺又更新了一次广告(某些地区可能还没发布),这次更加变本加厉,删除主体文件
C:\Windows\0416ht.exe,然后又多了一个伪装的系统进程,是一个右下角的弹窗,弹弹弹!!!
024.jpg

025.jpg
026.jpg


最后说一句:新浩艺公司(也就是杭州顺网子公司)你们每天忙着做广告,客户机随机重启,开机客户机登入-1003文件被篡改,什么时候能解决解决,这种伪装系统进程,嵌入广告的方式行为已经和木马程序没有两样咯,(客户机登卡可以直接扫描出病毒) ,请问这个要怎么跟客人解释呢.??而且这次所有的程序文件都没你们公司的签名,想想如果有一天新浩艺偷偷的执行带木马的程序然后再改回来,简直太可怕咯!

至于怎么临时解决,纯手工清除弹窗广告和桌面图标,我想聪明的你应该知道了吧!!(广告下发修改与上述不同,则无效!!!)


第一步:搞定C:\windows\0416ht.exe文件,如果要创建免疫文件需要开超级手动创建,或者直接禁止运行0416ht.exe进程

第二步:桌面图标也可以创建免疫假体文件,(隐藏属性)但是桌面图标可能随时会变化,所以最好用维护通道软件生成假体,可以随机应变!!


您需要登录后才可以回帖 立即登录
高级模式
返回
统计信息
  • 会员数: 29041 个
  • 话题数: 9630 篇
  • 巅峰数: 5500 人