你好:

     感谢你访问我的 Blog ,本博客只提供博主的技术经验分享,你可以在此做简单的留言和评论,我会抽空回复你;若是要深入交流探讨,请联系QQ:47853253或者加QQ群:12012081


 

最新Pubwin,信佑弹窗广告简单剖析,!流氓是怎么练成的!

 

                                                                                            PUBwin最新广告简单剖析

1.   开机必须用身份证卡号登入,管理员登入有可能不加载广告!


2.随机打开了几个网页,发现网页右下角有弹窗广告.

3.接着用进程管理器定位窗口进程,发现窗口是直接从360chrome.exe浏览器启的

(这里少了一张图,忘记截图咯 - -!))

4.看来是浏览器被加载了恶意DLL文件哟,接着继续查看360chrome.exe加载的模块,发现一个未签名可疑DLL,版本16.4.15.3


5.查到路径是C\windows\5AgZ5.dll 尝试改名一下,提示如下
6.看来还有其他程序加载了5AgZ5.dll,继续使用软件查找功能

7.查看系统进程发现有两个lsass.exe进程哟,这里可以看出PID:3480lsass.exe是由当前用户创建的,所以肯定是个冒牌货,正常的系统进程用户名应该是:SYSTEM



8.接下来尝试用Windows管理器结束掉lsass.exe进程,果然够流氓!

9.还是简单点得用第三方软件来搞定它!

10.冒牌lsass.exe进程结束掉了,成功改名5AgZ5.dll

11.再次打开浏览器,DLL加载项没有哟,弹窗广告也消失咯!!




12.那么接下来分析分析,到底是谁生成了5AgZ5.dll ,执行了lsass.exe

13.这里查到5AgZ5.dll  lsass.exe,都是由Client.exe程序创建的,那么继续追踪看看Client.exe是怎么来的!






14.这里清楚的,记录了Client.exe是由0414ht.exe自解压包创建的



15.看看创建时间都是想吻合的,和桌面图标同一时间生成的,这里基本上可疑断定是Pubwin搞鬼哟,如果没装Pubwin装了信佑可能也会有广告,反正他们是一家的!







16.继续再往上追踪,发现这些都是由System创建的,至于Pubwin是如何提权利用System这个只能由更专业的人士来分析咯(已经掌握)



17.还有最近一些用户出现开机直接弹出博彩类网页,不用怀疑,又是他们公司干的!!



18.这里可以看到开机直接360浏览器打开了9990885网页,接下来看看幕后黑手吧



19.这里可以看到360浏览器是直接由父进程PubwiClient.exe来启动的,真是无孔不入


 

 



20.好了,先到此为止吧,文章已经很长了,写的都累!估计看得人都想睡着咯!这里先总结一下Pubwin最新广告的行为吧!

Pubwin登入卡号后修改注册表

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

新: 字符串: "http://www.baidu.com/?tn=78040160_28_pg,"

旧: 字符串: "http://www.baidu.com/"

1.Pubwin登入卡后利用SYSTEM系统进程生成 C:\Windows\0416ht.exe自解压包  

2.C:\Windows\0416ht.exe解压到路径%ProgramFiles%\temp\  生成client.exe H.dll I.dll v.dll  module.ini hint.dat 文件

最后再删除%ProgramFiles%\temp\路径下的相关文件!

4.lsass.exe 查找各类浏览器,修改了注册表Appinit_DLLs项,浏览器打开随后就加载了5Agz5.dll广告插件,导致打开浏览器就有增值弹窗广告
 
5.其实生成的随机文件,全部都是自解压包里面的,因为我对比了他们的MD5发现是一样的!!

 

6.截止我发稿的时候,又测试了一次,发现今天新浩艺又更新了一次广告(某些地区可能还没发布),这次更加变本加厉,删除主体文件
C:\Windows\0416ht.exe,然后又多了一个伪装的系统进程,是一个右下角的弹窗,弹弹弹!!!






最后说一句:新浩艺公司你们每天忙着做广告,客户机随机重启,开机客户机登入-1003文件被篡改,什么时候能解决解决,这种伪装系统进程,嵌入广告的方式行为已经和木马程序没有两样咯,(客户机登卡可以直接扫描出病毒) ,请问这个要怎么跟客人解释呢.??而且这次所有的程序文件都没你们公司的签名,想想如果有一天新浩艺偷偷的执行带木马的程序然后再改回来,简直太可怕咯!


            至于怎么临时解决,纯手工清除弹窗广告和桌面图标,我想聪明的你应该知道了吧!!
  
第一步:搞定C:\windows\0416ht.exe文件,如果要创建免疫文件需要开超级手动创建,或者直接禁止运行0416ht.exe进程

第二步:桌面图标也可以创建免疫假体文件,(隐藏属性)但是桌面图标可能随时会变化,所以最好用维护通道软件生成假体,可以随机应变!!

新浩艺官方也有卧底在这边么,发现压缩包已经改名咯,万变不离其宗,呵呵哒!




 
 

 



[本日志由 lq3447 于 2017-05-13 04:43 PM 编辑]
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
评论: 0 | 引用: 0 | 查看次数: 248
发表评论
你没有权限发表留言!