对于QQ拼音或者小马KMS流氓行为的一次分析

CloudStrife

标题可能是错怪QQ拼音了，因为准备发完这个帖子重装系统，也有可能是小马KMS激活工具的问题。
首先说说现象：
1.突然发现右下角有一个弹窗：（见图1）
然后我就很费解，看类名，qq.ad。。。看起来就是QQ的东西，而当时我只安装了QQ拼音输入法。
行吧，既然是rundll32的模块，那我就来看看是那个dll在作怪
2.打开PCHunter，看rundll32的模块：（见图2）
里面第一个模块非常可疑，那就从这个模块开刀，找到这个dll后，复制出来，用IDA加载
3.IDA加载后找到管家的一个位置，就是弹窗的代码：（见图3和图4）
到这里，很明显了，就是这个dll谈的窗
4.接下来要追踪始作俑者，一般来说rundll32就是为了加载dll的，所以一般人也不会用注入的方法，只需要给个参数就好了
5.那就用procmon来抓一下启动参数喽：（见图5和图6）
好的，到这里能看出来了，父进程id已经拿到了，结果一看竟然是explorer，好吧，那肯定是注入进
explorer里面的某个模块在捣蛋，然后我打开PCHunter去看explorer
6.吓我一跳，系统模块基本都被改了，一片红（见图7）
此时此刻我明白了，也有可能是KMS激活时候的工具问题。。。唉，重装系统吧，这次装完系统再装个QQ拼音
看还弹不弹窗。。。
[img]file:///C:\Users\cloud`\Documents\Tencent Files\1668444265\Image\C2C\$220A{F@L2[K1K2QCHXGCHM.png[/img]

[img]file:///C:\Users\cloud`\Documents\Tencent Files\1668444265\Image\C2C\$220A{F@L2[K1K2QCHXGCHM.png[/img]

CloudStrife

932588089 发表于 2016-11-18 15:52
有个疑问 你怎么抓的参数？ 重启输入再抓？

嗯，在开机弹窗前抓的，如果重启explorer应该也可以，可惜现场被我破坏了，那会急着重装系统了。

羽月莉音

天天虾虾 发表于 2016-9-7 12:04
一直使用搜狗！搜狗值得信赖~  
有没有打广告的嫌疑？O(∩_∩)O哈哈~

搜狗一堆弹窗广告……时不时推广他们的浏览器

Hmily

文章建议整理和深入下，说明前因后果和病毒行为分析，移动到病毒分析区。

龙骑统帅

发完了？？？？？？？

pumture

应该是小马的，我一直用QQ拼音u 没有弹窗

万一行了呢

一直远离这两种东西

FuYunx

QQ拼音应该不会。。用了几年了

平淡最真

小马KMS激活工具有问题  这个是大家都知道的常识

后来后走

露珠，写详细点，并把你的工具发上来。小白也试试

std186

平淡最真 发表于 2016-9-6 17:15
小马KMS激活工具有问题  这个是大家都知道的常识

用了几次，不会出问题吧

辛苦了

我今天刚完成从7变为10 一直用QQ拼音可惜这次在360宝库里没找到精简版的貌似下架了好可惜，我没发现有弹窗可能是你激活工具问题