你好,游客 登录 注册 搜索

背景:
阅读内容

恶意锁主页又有新招数

[日期:2018-03-29 13:34:13] 来源:  作者: [字体: ]

      许多广告程序、流氓软件以及恶意软件会锁定用户新用户注册送59元彩金的浏览器首页,强迫用户访问一些导航网站,自己从中赚一笔推广费。针对这种行为,杀毒软件和安全辅助工具进行了全力封杀,可不法分子还是不甘心总是想方设法绕过安全监测窜改浏览器首页,这不,一种利用Shim技术的新招数在网上流出开来。

      Shim是什么鬼?Shim是Windows系统用于修补应用程序的小型数据库,例如1.sdb就是一个Shim,它的用处是拦截API调用、修改参数并进行其他操作,例如一款软件使用Shim技术后,可以通过它修改 Windows函数地址,将其替换为Shim中替代函数的指针。看不懂?那算了,这个说起来就太复杂,大家只需要知道这个技术是用来解决应用程序与操作系统不兼容的就行,曾经微软还用它来修复漏洞!

 

      由于Shim在安装时Windows系统没有对它做安全性校验,不法分子发现它可以用来干坏事,以QianSet.exe木马为例,QianSet.exe入侵新用户注册送59元彩金后释放updat_xx.exe,updat_xx.exe运行后释放一个DLL恶意链接到AppPatch目录,并安装Shim文件,Shim文件安装后会在注册表生成对应信息{429E4075-95CE-4E90-8AA9-E56C4C199DCF}.sdb,之后就是通过它修改系统参数完成浏览器首页的窜改行为。

 恶意锁主页

将恶意Shim信息写入注册表

      那木马是怎么传播的呢?主要通过为捆绑在正常软件的方式混入新用户注册送59元彩金,例如捆绑在极客虚拟光驱中,然后在论坛、QQ群共享中散播。因此,要避免病毒的新花招要提高警惕,不要选择来历不明的软件,还可以借助杀毒软件和安全辅助工具来防御病毒,目前主流的安全厂商都已经注意到木马的变化,加大了查杀力度。


     往下看有更多相关资料

推荐文章 收藏 推荐 打印 | 整理:mengyan | 阅读:
查看相关资料      
本文评论   查看全部评论 (0)
表情: 姓名: 字数
点评:
       
评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款
专题文章
热门评论

博聚网