修改主页类恶意软件浅析 - 客户服务中心.pdfVIP

C U S T O M E R S E R V I C E C E N T E R 客户服务中心 修改主页类的恶意软件浅析 --瑞星信息安全沙龙 一、修改主页类恶意软件产业链 1. 造枪：就像打仗一样，攻打你必须有人造武器一批。程序员开发撰写不同版本的木马， 这里也分三六九等，从最简单易行的木马软件，到植入不易发现的木马，各种型号任由买 家选购。 2. 卖枪：军火贩子就是在战争中成长起来滴，此类人通过自建网站，销售木马可以完成 资金回流。 3. 拿箱子 ：购买木马的盗窃实施者——二道贩子。 4. 分销：把包含信息的邮件打包转卖给“大买家”。 5. 挂马：就像办证小广告印了总要散播出去吧，这就要雇佣散工，将木马通过各种方式 尽可能多地传播出去。 6. 变现：钱是要有的，但是变现的渠道时常需要调整。过去的盗号、卖装备为主的盈利 模式，现在是通过网页、IE 首页的篡改，提高所推广的网站访问量，通过广告和流量收费， 最终变成人民币落入商家口袋。 二、修改主页类恶意软件采用的手法 1. 网页代码中嵌入恶意代码，浏览网页后注册表就被修改，并且修改相关键值的权限， 使得一些安全软件无法修复。 2. 伪装为常用的软件，如播放器等软件，安装时将在安装包中的恶意软件同时安装上。 3. 利用某些软件漏洞锁定主页，比如金山网盾。 4. 通过网页挂马感染，通过病毒驱动或者病毒DLL 文件守护恶意首页。 5. 修改或者增加桌面快捷方式（主要是IE 快捷方式），实现跳转恶意网站的目的。 三、常用知识介绍 1. 主页涉及键值 [HKEY_CURRENT_USER\Software\ Microsoft\ Internet Explorer\ Main ] [HKEY_LOCAL_MACHINE\Software\ Microsoft\ Internet Explorer\ Main ] [HKEY_USERS\.DEFAULT\Software\ Microsoft\ Internet Explorer\ Main ] 下的键名Start Page 中的键值修改为恶意网站地址，这样会发现Internet 选项中主页框中 网站成为了恶意网址。 第 1/5 页 北京瑞星信息技术有限公司 C U S T O M E R S E R V I C E C E N T E R 客户服务中心 2. 浏览器快捷方式涉及键值 常桌面和快速启动栏的浏览器快捷方式被篡改，有的是隐藏了用户默认的快捷方式然后新 建一个指向恶意网站的快捷方式，有的直接删除用户的快捷方式然后新建，这些恶意修改 对注册表的修改则是将主键： [HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\ Explorer\HideDesktopIc ons\ ] 的主键 NewStartPanel 中的键名{871C5380-42A0-1069-A2EA-08002B30309D} 的键值改为 0 （表示隐藏浏览器桌面图标）或者直接删除此键。 然后再新建一个指向恶意网站的快捷方式 还有一种则是直接新建一个快捷方式（这样桌面就有了两个浏览器快捷方式），而且多 出来的快捷方式无法删除。 3. 桌面快捷方式涉及键值： [HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ Explorer\Desktop\ N ameSpace] 4. 浏览器关联项目修改 主要是将浏览器的快捷方式的目标重定向（但用户的主页并没有被修改），打开主页就自 动跳转到恶意网址，其