（到2月7日，360已经可以完美清除）隐形广告木马----近期桌面右下角弹广告之元凶

275751198

       2013年接近尾声的时候，突然有一个新病毒给2013年所有流行病毒挂上了一个句号。该病毒不像其它病毒木马那样拥有自己的固定进程，而是每隔一段时间会有随机数字命名的可疑程序自动运行。电脑被该病毒感染后无明显可疑启动项，众多杀毒软件也扫描不到任何威胁。中毒症状是电脑开机后桌面右下角弹出《百度手机卫士》的推广广告，之后还会时不时的弹出其它各种广告窗口。综合众多求助网友的反馈记录，2013年12月03日 - 2013年12月06日是该“广告木马”的爆发日。使用“Windows 7”系统的用户中招后不光会弹出推广广告，而且按“F5”键刷新桌面时还会造成“explorer.exe”崩溃。
   

       样本运行，感染木马的电脑利用exploer.exe加载木马dll ----   wlsdll.dll  appcome.dll



“appcom.dll”使用的数字证书和流行于前一阵子的“UUSee隐形广告”使用的数字证书一样都是“Shenzhen Ushida electronic limited company”。这个木马猖獗的原因之一是有正常的数字签名哦

      

“广告木马”运行期间，还会在同目录下生成无数个名称为“P*****db.exe”的程序定时启动，中间的“*”为随机数字，共五位。这些程序的文件大小和“app.exe”的文件大小是相同的，其目的是保障自己被清除后能够借尸还魂，死灰复燃。不过这些程序同“app.exe”一样也都是经过加密的，没有指定的命令参数是不会和普通应用程序那样用鼠标点击两下就能运行的。



“appcom.dll”和“wlsDll.dll”被成功加载到“explorer.exe”中运行后，便会检测网络是否可用。如果网络功能正常，就会在同目录下释放两个配置文件“adtask.xml”和“appcom.ini”，最后联网弹出《百度手机卫士》等广告弹窗。



这是“adtask.xml”的内部信息，其中网址“http://daoshi.allvideo.cn/uuu/003.html”指向的就是《百度手机卫士》的弹窗地址。在IE地址栏中输入这个地址后，《百度手机卫士》的GIF广告动画就会呈现在浏览器中。

而网址“http://www.51v8.com/uuu/001.html”指向的则是“百度推广”的广告窗口。

事实上直至昨天（1月28日）360依旧没有对此病毒进行任何反应，今天360将部分样本入库

感谢羊羔助手       http://user.qzone.qq.com/1205313146/blog/1390580554

近5日360论坛相关问题求助帖
http://bbs.360safe.com/thread-3233541-1-1.html
http://bbs.360safe.com/thread-3439366-1-1.html
http://bbs.360safe.com/thread-3184149-1-1.html

样本http://yunpan.cn/Qpfuwt7d2N8nH
密码  infected

下载样本时回复是美德 哦

到2月7日  360杀毒已经将全部相关样本入库查杀，迟迟没入库的启动项dll也已经拉黑处理，现在用户只需全盘扫描即可完美清除木马

xouou_53320

百度会说:"俺是无辜的"

anycall9696

无视，就算我不装杀软，此类流氓也根本进不到我电脑，exploer.exe加载dll这一项就直接根本不可能通过hips

275751198

anycall9696 发表于 2014-1-29 16:44
无视，就算我不装杀软，此类流氓也根本进不到我电脑，exploer.exe加载dll这一项就直接根本不可能通过hips

就是因为dll有正常数字签名，所以木马12月末出来，到现在360都查杀不出来
有样本啊，不试一试吗？

wqcaokeyinwq

无论是否是有效数字签名，除非是能进入微点的白名单，否则只要触发微点规则即被捕捉


而即便是在微点白名单的程序，也是以一定的规则进行监控！

化石MM

win7下自动退出，没有反映

Flameocean

UUSee隐形广告这个问题，我 也遇到了，就是安装官方的UUSEE后，有时候开机就会弹出来，很久之后才解决的，后面也是发现是UUSEE干的坏事

yyt6t6

那个木马真的有毒吗？如果是真的，上传报告可吓死人！
报告地址

yyt6t6

http://r.virscan.org/report/566f01c8684647326db3e41533df3683.htm

Genes

带数字签名真可怕。