全方面剖析3721!看流氓软件如何流氓(3)
第3页:3721及上网助手对系统文件的写入情况剖析
根据网络实名网站自称的“详细技术原理”,我们看看真实情况是否如网站上所告知的那样。
上面是其对用户告知的内容。在随后的检测项目中,我们看看它“详细”到什么程度,用户和知情权体现在什么地方。
1、向系统植入的文件
除了有专门的程序文件夹,3721还在WindowsDownloaded Program Files目录以隐藏的方式保存其文件以便快速修复;在系统驱动程序目录植入驱动程序文件并保证安全模式(即使你不上网!)也能够被加载并且不能被直接删除。
①安装3721后的文件植入情况:
● WindowsDownloaded Program Files目录被植入37个文件1个文件夹;
● WindowsSystem32Drivers目录植入CnMinPK.sys驱动程序文件。
● Program Files目录植入目录名为3721,共含15个文件和1个文件夹。
共计植入53个文件和2个子文件夹。
②安装上网助手后的文件植入情况:
● WindowsDownloaded Program Files目录被植入30个文件1个文件夹;
● WindowsSystem32Drivers目录植入CnMinPK.sys驱动程序文件。
● Program Files目录植入目录名为3721,共含79个文件和7个文件夹。
● Program Files目录植入目录名为YDT,共含4个文件和1个文件夹。
共计植入114个文件和9个子文件夹。
2、写入的⒉岜硐钅?BR>
据安装前后的注册表导出比较后得出的不完全统计,系统注册表被写入的内容大致如下(因浏览网页等操作会导致动态修改,因此可能会有一些误差):
安装3721后,注册表中被写入122个键项、408个键值;
安装上网助手后,注册表中被写入251个键项、656个键值。
遗憾的是,按正确的方法卸载、重启后注册表项目仍然无法全部被清除!
3、多种途径实现的自动加载项
3721声明以标准系统接口实现自动加载,而且将这些标准接口利用得淋漓尽致!
⑴上网助手在注册表HLM下面的Run键项中添加helper.dll、YDTMain.exe、CnsMin三个自动加载模块,而且卸载、重启后仍然存在;
⑵通过驱动程序模式加载CnMinPK.sys模块,实现进程隐藏,并且通过系统本身的Msconfig无法检测;
⑶通过其多个模块之间的相互修复和守护实现,实现交叉安装、修复、加载;
⑷通过嵌入浏览器帮助对象,实现功能的自动加载;
⑸通过各模块卸载对话框中的修复选项,诱导用户在卸载某个模块的同时,修复和自动加载另一些模块;
⑹通过捆绑到某些第三方安装程序,在安装过程中实现自动安装和自动加载。
4、自我守护的进程
安装上网助手后,任务列表中会存在三个进程,其中以Rundll32.exe显示的两个进程可以实现自动交叉修复,即一个进程是另外一个进程的守护进程。
因此,使用Windows任务管理器是无法顺利将它们从内存中关闭的,这点相信多数人深有体会!
5、植入系统的浏览器加载项
下图是上网助手自动植入系统中的8种浏览器加载项。
用户的浏览器成为几大公司发财的财源基地。余下的就差没有拿着刀子上门直接抢钱了。
6、自动植入浏览器工具栏的多种无关按钮
上网助手安装后,浏览器上什么Yahoo!等乱七八糟的按钮一股脑儿给你安装上了,甚至连资源管理器也没有放过。
怎么样?够贴心的吧?
7、控制面板添加删除程序列表中的多余项目
在未被明确告知的情况下,安装上网助手后,控制面板的添加删除程序列表中会额外加入两个程序项目。
8、植入系统的系统服务表
使用IceSword这款安全工具检测系统服务描述表(SSDT),可以发现除Ntoskrnl.exe这个系统内核外,就是3721和上网助手的CnsMinKP.sys了。
搞编程的人知道这做到了什么级别,普通网民反正“眼不见为净”。可见功夫真的下到了家了!
9、自动创建的线程情况
上网助手及其模块自动创建的线程数之多,在系统总体线程数的比例上是多得令人吃惊的!
该图为未打开任何浏览器以及其他相关窗口情况下的线程创建情况。
10、后台运行的消息钩子
有兴趣的人可以看看下图中的钩子类型,看看3721利用的大量钩子函数在干些什么。
11、植入浏览器右键菜单的“!搜一搜”菜单项
浏览器右键菜单中被植入的“!搜一搜”是不是该倒过来从右向左读?这个世界的法则是不是也要倒过来解读?
12、上网助手Assistse.exe打开本地1028端口
上网助手Assistse.exe打开本地UDP 1028端口,作用不明。
13、植入Internet选项设置
下图是一张植入到Internet选项的“高级”设置的内容截图。看看,还有“自动升级”功能呢,有什么新的手段或主意了,再在您的系统中试试?
