手动查杀浏览器劫持病毒
文章目录
- 察觉到病毒
- 病毒行为分析
- 病毒查杀
- 病毒分析
- 总结
察觉到病毒
很早前入手了个平板电脑,型号是台电 Tbook 16 Pro (E5C9),没装杀毒软件,使用了半年没察觉有什么问题。结果最近发现,使用必应搜索,输入关键词后点击搜索会跳转到百度搜索,如下图所示,并且地址栏中很明显有推广链接。后来发现,在平板上任意浏览器中输入baidu[dot]com会自动跳转到www[dot]baidu[dot]com/?tn=56080572_19_hao_pg,于是意识到电脑里有病毒。不过浏览器主页没有被劫持。(由于我主要用必应搜索,不是每次搜索都跳到百度,因此半年内都没察觉到)
病毒行为分析
检查发现病毒没有篡改主页等,只是在网络设置中添加了代理设置,如下图所示。它将“自动检测设置”,“使用自动配置脚本”,“使用代理服务器”三个开关给打开了,并且代理服务器设置成了本机的一个本地端口。如果我把这三个开关关掉,发现浏览器工作正常了,必应不跳转百度了,直接输入百度网址也不自动加推广码了。不过这个病毒每隔几分钟就会又打开代理设置。并且每次开机这个本地端口还不一样。不把它解决掉不甘心。
PS:本文遇到的病毒和这篇文章 描述的病毒木马有些像。
病毒查杀
- 既然是监听一个本地端口,我想知道这个端口跟那个进程有关。这次代理被病毒设置成了127.0.0.1:64504,使用netstat获得PID,再用tasklist查找,我把跟这个端口有连接的端口也查了,结果如下,查到的都是些系统的进程,配合使用ProcessHacker,发现这些程序文件的签名也都正常,只能想其他办法了。
C:\Users\Js>netstat -ano | findstr "64504"协议 本地地址 外部地址 状态TCP 0.0.0.0:64504 0.0.0.0:0 LISTENING 724TCP 127.0.0.1:55350 127.0.0.1:64504 ESTABLISHED 11656TCP 127.0.0.1:59512 127.0.0.1:64504 ESTABLISHED 11656TCP 127.0.0.1:64504 127.0.0.1:55350 ESTABLISHED 724TCP 127.0.0.1:64504 127.0.0.1:59512 ESTABLISHED 724C:\Users\Js>tasklist | findstr "724"
映像名称 PID 会话名 会话# 内存使用
========================= ======== ================ =========== ============
lsass.exe 724 Services 0 39,632 K
//isa.exe 11620 Services 0 7,724 K
//conhost.exe 10900 Services 0 724 KC:\Users\Js>tasklist | findstr "11656"
ChsIME.exe 11656 Console 9 29,940 K
- 试图使用PCHunter,结果运行出现“加载驱动失败”,无法使用。
实在没办法,我只能装杀毒软件试试了。对了,上面提到那篇文章是360写了,于是我就给平板装了个360安全卫士,结果没查出来;使用系统急救箱查出一些奇怪的东西,检查发现这些都不是病毒,因为问题还在。都是误杀,其中把平板的摄像头驱动和触摸屏驱动删了,虽然能恢复,但是很失望。并且装了360后平板开机慢到了2分钟,使用也变得非常卡。
- 后来又安装了火绒。然而也没有查出来,不过使用火绒剑发现了很多可疑的东西。在启动项标签发现了一个wmiany的启动项,,右键查看文件没有签名,右键查看注册表,病毒丑陋的原型就暴露出来了。把这个服务关掉发现代理不会一直被设置了,也没有网络劫持了。
病毒分析
从注册表信息中可以看出,病毒伪装成了一个服务,服务的描述为Microsoft Windows Resource Pack,文件是srvany.exe,只有8KB。具体什么功能不知道,反正杀毒软件不杀它。
后面运行参数是:
/C (echo x|set/p z=MZ)>C:\WINDOWS\msd2fm.bin & copy /b C:\WINDOWS\msd2fm.bin + C:\WINDOWS\msd2fm.dat C:\WINDOWS\msd2fm.exe & C:\WINDOWS\msd2fm.exe & del C:\WINDOWS\msd2fm.bin & del C:\WINDOWS\msd2fm.exe
简单的分析了下。在windows目录下确实存在一个文件msd2fm.dat,用16进制方式打开,如下图。显然“This program cannot run in DOS mode”说明了这应该是个程序文件,但是windows下的程序文件文件前2字节应该都是MZ,这个msd2fm.dat的前2字节不是。看看上面的运行参数,猜测是将“MZ”和某字符写入到msd2fm.bin,然后将其跟msd2fm.dat合并为msd2fm.exe,然后执行msd2fm.exe,最后删除这些文件。我在电脑上运行了下命令好像就是msd2fm.exe在msd2fm.dat前面添加了4D 5A 20,然后另存下电脑上的360就把msd2fm.exe删除了,不测试了。这难道就是一种免杀技术?
总结
没有做多少深入分析,只是把病毒找到了,希望这篇文章可以给也有遇到这种情况的提供些许帮助。
手动查杀浏览器劫持病毒相关推荐
- 浏览器劫持定义及危害、处理浏览器被劫持自动跳转到某个网页的修复教程
浏览器劫持是一种恶意程序,通过浏览器插件.BHO(浏览器辅助对象).Winsock LSP等形式对用户的浏览器进行篡改,使用户的浏览器配置不正常,被强行引导到商业网站. 所谓浏览器劫持是指网页浏览器( ...
- Mac Safari, Chrome 浏览器劫持 SearchSystem Search 恶意插件移除 尝试Brave浏览器
这年头,不仅要会找bug,还得会找病毒!近一段时间,我的Chrome和Safari浏览器双双被劫持,真是日了狗了! 文章目录 1 浏览器劫持症状 2 怎么办?不慌 2.1 解决问题三部曲 2.2 杀毒 ...
- 防劫持工具,介绍几款浏览器劫持修复工具
相信很多人都会自己设定浏览器的主页,但是有时候,我们会发现打开自己浏览器设置好的主页,结果被莫名其妙的跳转到其他的网址,这种情况大多是浏览器劫持.遇到这种情况,即使锁定主页也没法解决,我们可以借助浏览 ...
- 浏览器主页被劫持的解决办法、浏览器劫持是什么意思
有些流氓网页为了推广自己,给一些唯利是图的人一点小钱,他们就把做的软件加上了这个鬼网页!而利用一些卑鄙的手段,使用户无法更改浏览器主页!不妨直言,今天就遇到了该死的hao123,怎么修改主页都改不掉. ...
- 3601lpk.dll劫持病毒分析
1.样本概况 1.1 样本信息 病毒名称:3601-lpk劫持病毒 所属家族:Trojan-DDoS.Win32.macri.atk MD5值:B5752252B34A8AF470DB1830CC48 ...
- Hijackthis浏览器劫持日志精解_网络安全日志,还我蓝色天空(转载)
Hijackthis浏览器劫持日志精解 作者:网络安全日志( www.nslog.cn ) 日期:2006/9/29 ( 转载请保留此申明) 一.简介 H ...
- HijackThis反浏览器劫持软件--简明教程
近来很多网友由于误点不良网址,导致IE主页被改成英文搜索页或其它恶意网页,通常的方法诸如修改注册表.用上网助手或杀毒软件等是不能解决的,修改注册表,一点刷新就会恢复成原样,用上网助手等软件修复要么是根 ...
- 助手的反叛——全面分析浏览器劫持的情况(转)
一. 谁误导了浏览器 今天是大年初二,王先生家中来了许多客人,把平时埋头于工作的王先生弄了个手忙脚乱,由于客人带来的几个小孩子嚷嚷着要出去上网,王先生只好把寝室里的电脑让给了这一群孩子玩,好容易到了晚 ...
- 你的应用是如何被替换的,App劫持病毒剖析
你的应用是如何被替换的,App劫持病毒剖析 Author:逆巴@阿里移动安全 0x00 App劫持病毒介绍 App劫持是指执行流程被重定向,又可分为Activity劫持.安装劫持.流量劫持.函数执行劫 ...
最新文章
- Ethereal使用入门
- 如何在Flexbox中垂直对齐文本?
- SQL server 系统优化--通过执行计划优化索引(1) (转)
- [观察,找规律]算法题目训练
- getdevicecaps在哪个头文件里_一招定胜负,while (true) 和 for (;;) 到底哪个更快
- python增量赋值是什么意思_关于python中的增量赋值的理解
- POJ2104(K-th Number)
- Windows10安装sql2016配置iis问题
- linux 检验md5命令,linux命令行校验工具md5sum
- 自适应迁移学习核极限学习机KELM用于分类
- 6个usb口服务器无响应,USB接口不能用(没反应)修复方法
- 海思Hi3559A GPIO操作
- Nacos注册中心AP架构源码(Distro)上篇
- 支付宝和微信支付用户付款码条码规则
- 现实迷途 第三十六章 互相摊牌
- 刘润、陈果、董小英、朋新宇、付晓岩等50余位专家力荐《精益数据方法论》重磅上市!...
- Minibatch Stochastic Gradient Descent
- java 汉字转换为拼音
- Java多线程下载分析方法
- windows之wps卸载不干净解决
热门文章
- 内网服务器防火墙作用,防火墙内网用户通过公网域名或公网IP访问内部服务器 - 华为技术论坛 - 51CTO技术论坛_中国领先的IT技术社区...
- “一”的客观形态与主观感受之间的关联性研究
- Android开发Service之BindService
- 读书笔记2013第6本:《棋与人生》(一)
- Java数据结构与算法(十三):程序员常用的10种算法
- 使用 WScript.exe 运行脚本
- 「 没有消息就是消息 」
- 百度统计数据导出服务踩的坑
- HarmonyOS修改App图标的方法
- 电脑软件下载平台哪个好