遍布互联网的“广告木马”！

hhe111

“广告程序”和“木马程序”貌似是两个定义，但网上一直流传着的“广告木马”又是什么呢？

　　同“流氓软件”的定义恰好相反，“流氓软件”是介于“病毒程序”与“正规软件”之间的出现的软件。而“广告木马”与普通的“广告程序”相比区别在于“广告程序”和“木马程序”之间存在某种程度上的依附关系，并不是什么结合体也不是什么独立存在的。


“广告程序”（又名“广告软件”）概括如下：

　　“广告软件”是指未经用户允许，下载并安装在用户电脑上；或与其他软件捆绑，通过弹出式广告等形式牟取商业利益的程序。


“木马程序”概括如下：

　　“木马程序”是指潜伏在电脑中，受外部用户控制以窃取本机信息或者控制权的程序。它的全程叫“特洛伊木马”，英文叫做“Trojan horse”，其名称取自希腊神话的特洛伊木马记。 木马程序危害在于多数有恶意企图，例如占用系统资源，降低电脑效能，危害本机信息安全（盗取QQ帐号、游戏帐号甚至银行帐号），将本机作为工具来攻击其他设备等。

《广告木马》

　　看了上面百度的概述，大家应该对“广告程序”与“木马程序”有多少了解了，下面我就要给大家介绍一下“广告木马”。

　　以我两年的杀毒经验来看，所有网络病毒中“广告木马”是最为常见不过的，也是出场率最高的。“广告木马”这要通过钓鱼网站诱惑用户下载、恶意捆绑应用软件欺骗下载这两种渠道传播的，还有极少部分是通过网页挂马直接入侵用户计算机。“广告木马”危害等级各不相同，破坏程度也各不一样。常见的就是篡改IE首页，弹出一些广告窗口，创建一些难以删除的伪IE图标等等，杀毒软件很轻易就能解决。但其中有一部分恶意“广告木马”可能会集成“间谍软件”，例如“键盘记录器”和“隐私入侵程序”等等。相比较来说，还是破坏程度较轻占大多数。但是这种病毒唯一让人麻烦的就是频繁变种、做免杀太多，小网站到处都有捆绑引诱用户下载。而且当出现新品种时，杀毒软件无法获取到便无法识别病毒……这时便有受害者心急如焚地到360求助中心发求助帖了。这种病毒的主要特点就是随机性特别大，危害方式各种各样，也没有什么固定的名称。野火烧不尽，春风吹又生，新品种（注意，我在这里说的是“新品种”，而不是“新变种”）源源不断地出现永远杀不完，所以没有针对性的专杀工具。它不像某些出了名的大型病毒那样，风流了一阵子后直到被各大杀毒软件杀掉了就拉倒了。就好比宇宙一样，某些出名的大型病毒就相当于固定的恒星或行星，而“广告木马”就相当于流星，到处都有，弄不好哪天撞一家伙儿。



·例1：

　　网友们常遇到的“淘宝”图标就是“广告木马”创建的，不知道是哪家淘宝店使用不正当推广手段编写了这么一个程序，使用普通方法根本删不掉。


　　这是创建这个“淘宝”图标的“广告木马”所在位置，可以清楚的在它的安装目录下看到“广告木马”程序（.exe/.dll）和“淘宝”图标“taobao.ico”。


　　首先在“任务管理器”里面找到对应这些程序的进程结束掉。


　　然后再在“系统配置实用程序”里面将其启动项禁掉。


　　可能“广告木马”的模块（DLL）也插入到了系统程序中运行，可能正常模式下未必能将其安装目录删掉。重启电脑按“F8”键切换到“高级模式”再选择进入“安全模式”下，再将它的整个安装目录删除就行了。不过这个“广告木马”还不错，提供了“unins000.exe”卸载程序，但不是所有“广告木马”都这么自觉的。



·例2：

㈠：

　　“eBay广告插件”通过捆绑某些软件安装到用户电脑下。


　　使用 《360安全卫士》-----清理插件 完全可以清除。



㈡：



　　“Lsmgr广告控件”未经过用户同意强行安装，还涉及到侵害用户的隐私问题。





·例3：


㈠：

　　还有一种“广告木马”是入侵受害者电脑后，并不是自我释放恶意程序，而是检查网络连接是否正常后便从某个服务器下载一大堆“流氓软件”或“木马程序”，和“下载者木马”、“木马下载器”的性质是一样的。

　　例如我从求助者的手里就获取了一个这样的样本，运行后会在临时文件目录下释放一个“6666.exe”的程序并将其运行在内存中，然后下载各种流氓软件，如《Coopen》、《搜狗浏览器》、《水蜜桃浏览器》、《PPlive》等等……


　　其中，《水蜜桃浏览器》的起始页全是不良网站的链接，而且极其难以卸载。


　　卸载后，只是桌面图标被删了，但是其目录下的“PeachServer.exe”等一些相关组件都没有被删。“PeachServer.exe”是《水蜜桃浏览器》的更新服务，能随机启动。不知何时又会自我还原到受害者电脑上，典型的“流氓软件”特征！


　　该“广告木马”样本获取地址：http://help.360.cn/index.php?c=help&a=topic&bid=5030804&tid=37457923


㈡：

　　从某个“色情网站”上下载了一个专用播放器。


　　“AV播放器.exe”运行后电脑卡的要命，先释放了几个图标，之后不断地下载/安装大量流氓软件。


　　最终的结果图如下。桌面上除了几个 Windows XP 系统自带的图标之外，剩下的全是“广告木马”下载安装的“流氓软件”快捷方式。




·例4：

　　对系统有破坏性的“广告木马”例如会篡改注册表中某个图标的CLSID，使桌面图标右键菜单改变，打开后是“流氓导航”。而且还会恶意替换系统文件（替换较多的一般是DLL组件），屏蔽主流杀毒软件进程。


　　打开浏览器后弹出“流氓网站”，或者右下角蹦出“广告Flash弹窗”。IE右下角弹窗的问题可能是“广告木马”向浏览器添加了广告BHO。


　　开机后会自动弹出“流氓网站”，或者未打开《腾讯QQ》桌面右下角就弹出“QQ中奖消息”，可能是运行中的“广告木马”在作怪。


　　以上种种问题均是“广告木马”的行为。它们有的可能是伪装系统以独立进程运行，可以通过用户名查看；有的可能将自己的木马模块（DLL）插入了系统进程中去运行的，使系统进程变成了木马进程，例如常被病毒利用的“svchost.exe”；还有的可能是恶意替换系统服务需要加载的DLL，这样系统启动服务时便会加载木马DLL，使普通用户更难察觉到……！



·例5：

　　近两天新捕获了一个“广告木马”的样本，还是一个网名为“matin_ko”的女网友在她的百度空间上发布的：http://hi.baidu.com/manifamily/blog/item/6c7910624af73834aa184c1e.html


　　她把“广告木马”安装包伪装成独家发布的《360密盘独立运行版》放在自己的百度空间上欺骗360粉丝下载，结果下载下来安装后却跳出淘宝网站。


　　这是《360安全卫士》内置的《360密盘》当前目录：


　　这是“广告木马”伪装“360密盘”的安装目录：


　　对比一下，两个“360密盘”的图标明显不一样。

　　我也试着下载了一个被“广告木马”伪装的“360密盘”测试了一下。


　　下载后，《360网盾》无法识别它的安全性。


　　“360密盘.exe”运行后，首先会创建一个伪装《360密码》的目录，然后执行“C:\Documents and Settings\Administrator\Local Settings\Temp\HZ$D.421.930”目录下的“sfx.reg”在注册表中注册一个名称为“360mipan”的服务项和名称为“360密盘”的启动项作为随机运行，其路径均指向“C:\Program Files\360\360safe\mipan\360mipan.exe”，这是“广告木马”伪装的“360mipan.exe”。最后执行“install.cmd”中的DOS命令将“C:\Program Files\360\360safe\mipan\360mipan.sys”复制到“C:\WINDOWS\system32\drivers\360mipan.sysy”，执行“fav.vbs”中的脚本命令，然后删除“install.cmd”和“fav.vbs”。“fav.vbs”被执行后，会在C盘庚目录下和桌面上分别创建“迪士尼&粉红豹正品特惠【拍拍】专卖店.url”和“迪士尼&粉红豹正品特惠【淘宝】专卖店.url”的IE图标，并弹出“http://shop.paipai.com/807581561”和“http://shop36552551.taobao.com/”的“淘宝”网站。


　　重启电脑，“广告木马”会伪造一个“启动密盘驱动失败”的提示框，但是“广告木马”已经运行！



PS：

　　由于“NTFS”文件系统格式存在权限能否访问的安全问题，这个木马是无法在“NTFS”格式的C盘上安装的。所以这个“广告木马”只能在“FAT32”格式的C盘下将自己伪装在《360安全卫士》的安装目录下。

《防范措施》

　　从上面我列举的五个例子中可以发现，“广告木马”可能是恶意插件、可能是恶意程序、也可能是针对性的下载器。什么样的类型都有，综合起来说就是“广告木马”。

　　危害程度从轻到重，从一个指向恶意网站的“IE快捷方式”到“鬼影”病毒，真是不知道下一个“广告木马”会是什么样子的……那么如何防止“广告木马”的侵害呢？

　　其实唯一做好防范工作的还是你自己。定期升级杀毒软件、安装漏洞补丁；少浏览一些不良网站；下载软件时少去一些小网站下载，尤其是下载作弊器和外-挂的时候；每次下载完一个资源以后建议使用杀毒软件对其进行安全扫描，如果提示“安全”可通过，提示“危险”立即删除，提示“未知”建议不要打开。

　　你能做到这么多，估计“广告木马”这样的病毒也就不会喜欢你了。

360求助中心 —— Lamb Assistant

founderchou

习惯还是比较好的

司狼神威3119

图挂了

里奥

图全挂了，不过这个科普的东西，鼓励

ppt5233

没用