Pubwin&信佑增值广告简单剖析

1.开机必须用身份证卡号登入，管理员登入有可能不加载广告！


2.随机打开了几个网页，发现网页右下角有弹窗广告.



3.接着用进程管理器定位窗口进程，发现窗口是直接从360chrome.exe浏览器启的

（这里少一张图，忘记截图咯了）

4.看来是浏览器被加载了恶意DLL文件哟，接着继续查看360chrome.exe加载的模块，发现一个未签名可疑DLL，版本16.4.15.3

5.查到路径是C：\windows\5AgZ5.dll， 尝试改名一下，提示如下

6.看来还有其他程序加载了5AgZ5.dll，继续使用软件查找功能


7.查看系统进程发现有两个lsass.exe进程哟，这里可以看出PID:3480的lsass.exe是由当前用户创建的，所以肯定是个冒牌货，正常的系统进程用户名应该是:SYSTEM


8.接下来尝试用Windows管理器结束掉lsass.exe进程，果然够流氓！

9.还是简单点得用第三方软件来搞定它！

10.冒牌lsass.exe进程结束掉了，成功改名5AgZ5.dll

11.再次打开浏览器，DLL加载项没有哟，弹窗广告也消失咯！！



12.那么接下来分析分析，到底是谁生成了5AgZ5.dll ，执行了lsass.exe

13.这里查到5AgZ5.dll 和 lsass.exe，都是由Client.exe程序创建的，那么继续追踪看看Client.exe是怎么来的！



14.这里清楚的，记录了Client.exe是由0414ht.exe自解压包创建的

15.看看创建时间都是想吻合的，和桌面图标同一时间生成的，这里基本上可疑断定是Pubwin搞鬼哟，如果没装Pubwin装了信佑可能也会有广告，反正他们是一家的！




16.继续再往上追踪，发现这些都是由System创建的，至于Pubwin是如何提权利用System这个只能由更专业的人士来分析咯


17.还有最近一些用户出现开机直接弹出博彩类网页，不用怀疑，又是他们公司干的！！



18.这里可以看到开机直接360浏览器打开了9990885网页，接下来看看幕后黑手吧

19.这里可以看到360浏览器是直接由父进程PubwiClient.exe来启动的，真是无孔不入





20.好了，先到此为止吧，文章已经很长了，写的都累！估计看得人都想睡着咯！这里先总结一下Pubwin最新广告的行为吧!

Pubwin登入卡号后修改注册表

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

新: 字符串: "http://www.baidu.com/?tn=78040160_28_pg,"

旧: 字符串: "http://www.baidu.com/"

1.Pubwin登入卡后利用SYSTEM系统进程生成 C:\Windows\0416ht.exe自解压包

2.C:\Windows\0416ht.exe解压到路径%ProgramFiles%\temp\ 生成client.exe H.dll I.dll v.dll module.ini hint.dat 文件

3.0416ht.exe解压后静默运行"C:\Program Files (x86)\temp\client.exe" /loader
重新在C:\Windows\6YJCzlCZsC_A(随机目录)\和C:\windows\下分别生成lsass.exe和随机DLL文件
最后再删除%ProgramFiles%\temp\路径下的相关文件！

4.lsass.exe 查找各类浏览器，修改了注册表Appinit_DLLs项，浏览器打开随后就加载了5Agz5.dll广告插件，导致打开浏览器就有增值弹窗广告

5.其实生成的随机文件，全部都是自解压包里面的，因为我对比了他们的MD5发现是一样的！！



6.截止我发稿的时候，又测试了一次，发现今天新浩艺又更新了一次广告（某些地区可能还没发布)，这次更加变本加厉，删除主体文件
C:\Windows\0416ht.exe，然后又多了一个伪装的系统进程，是一个右下角的弹窗，弹弹弹!!!






最后说一句：新浩艺公司（也就是杭州顺网子公司）你们每天忙着做广告，客户机随机重启，开机客户机登入-1003文件被篡改，什么时候能解决解决，这种伪装系统进程，嵌入广告的方式行为已经和木马程序没有两样咯，(客户机登卡可以直接扫描出病毒) ，请问这个要怎么跟客人解释呢.??而且这次所有的程序文件都没你们公司的签名，想想如果有一天新浩艺偷偷的执行带木马的程序然后再改回来，简直太可怕咯!

至于怎么临时解决，纯手工清除弹窗广告和桌面图标，我想聪明的你应该知道了吧！！（广告下发修改与上述不同，则无效！！！）

第一步：搞定C:\windows\0416ht.exe文件，如果要创建免疫文件需要开超级手动创建，或者直接禁止运行0416ht.exe进程

第二步：桌面图标也可以创建免疫假体文件，(隐藏属性)但是桌面图标可能随时会变化，所以最好用维护通道软件生成假体，可以随机应变!!