被静默安装了假的Firefox

显示全部楼层 · 发表于 2017-3-8 05:49:13

本帖最后由喵喵喵喵胖次于 2017-3-8 05:49 编辑

样本地址：https://share.weiyun.com/7621351c233db96f24a908afd09624df
解压密码：xxx

由于先前果奔的时候不慎被绑了一堆的流氓软件，
清除后时不时还会出现一些后遗症。

包括：
被静默安装Chrome 和 Firefox浏览器（尽管我本来就是用Chrome的）；
且被静默安装的Firefox没有卸载选项；
默认搜索引擎被改为Youndoo；
篡改劫持浏览器首页为Youndoo和STARTPAGEING123

被静默前eset的反应如下：

時間;掃描器;物件類型;檔案;威脅;處理方法;使用者;資料;雜湊;首次在此顯示
2017/3/8 上午 12:16:47;即時檔案系統防護;檔案;C:\Users\xxxxx\AppData\Local\Temp\1\yacqq.exe;Win32/Obfuscated.NJZ 木馬的一個變種;已利用刪除的方式清除;NT AUTHORITY\SYSTEM;在應用程式新建立檔案上發生事件: C:\Windows\SysWOW64\expand.exe (A53EAB93D544C278BA065C3DA26508C80E8AAB6E).;63CB5AC41EDD7262D8284C54D4B80EB333766D33;2017/3/8 上午 12:16:45

時間;掃描器;物件類型;檔案;威脅;處理方法;使用者;資料;雜湊;首次在此顯示
2017/3/8 上午 12:16:47;即時檔案系統防護;檔案;C:\Users\xxxxx\AppData\Local\Temp\1\c;Win32/Adware.ELEX.FH 應用程式的一個變種;已利用刪除的方式清除;NT AUTHORITY\SYSTEM;在應用程式新建立檔案上發生事件: C:\Windows\SysWOW64\expand.exe (A53EAB93D544C278BA065C3DA26508C80E8AAB6E).;B0B90D10AA3B1161C82FCD1EC505CDC19B2BBE8D;2017/3/8 上午 12:16:45

時間;掃描器;物件類型;檔案;威脅;處理方法;使用者;資料;雜湊;首次在此顯示
2017/3/8 上午 12:17:35;進階記憶體掃描器;檔案;作業記憶體 > FirefoxUpdate.exe(556);Win32/Obfuscated.NJT 木馬的一個變種;已清除 - 包含已受感染的檔案;;;D33A439062665D15BA76AF174C7ADB3896AF1657;

提取样本[Downloader_ie8.exe]的证书，这家叫[行云网科技合肥有限公司]在google搜索结果上的恶评：

然后是被静默安装的Firefox证书名称和官方的不一样，这个“假的”Firefox证书名称是两个拼音的人名：

然后ban掉了这些证书：

显示全部楼层 · 发表于 2017-3-8 07:15:33

Immunet - Miss

Webroot -

显示全部楼层 · 发表于 2017-3-8 07:33:42

火绒扫描miss

显示全部楼层 · 发表于 2017-3-8 08:26:29

卡巴杀了一个

显示全部楼层 · 发表于 2017-3-8 09:19:48

显示全部楼层 · 发表于 2017-3-8 14:09:26

趋势杀 PUA/ADW

显示全部楼层 · 发表于 2017-3-8 21:38:06

为什么裸奔还有“被静默前eset的反应如下：”这样的说法呢？

显示全部楼层 · 发表于 2017-3-9 00:24:45

ELOHIM 发表于 2017-3-8 21:38
为什么裸奔还有“被静默前eset的反应如下：”这样的说法呢？

之前是wd半果奔状态，
被流氓绑的时候wd的防护无辜被关了，
eset是事后才安装的

显示全部楼层 · 发表于 2017-3-10 08:02:21

江湖月夜发表于 2017-3-8 08:26
卡巴杀了一个

感谢您的帮助，在您提交的样本中有新的发现，
Downloader_ie8.exe.xxx - not-a-virus:AdWare.Win32.ELEX.ayr
yacqq.exe.xxx - not-a-virus:AdWare.Win32.QkSee.bi
请稍后更新最新数据库试一下

[可疑文件] 被静默安装了假的Firefox

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源