1. 仁华百科首页
  2. 今日推荐

iexplore(iexplore.exe)

根据“火绒威胁情报系统”监测发现,万能ys、万能x图、Clover等多款软件正在静默推广后门程序“眼睛的守护神”,截至到目前,已有几十万用户被捆绑安装该后门程序。该后门程序被捆绑安装至用户电脑后,会通过远程服务器下载病毒 ,并静默推广鲁大师手机模拟大师等其它多款软件。通过查验签名得知,“眼睛守护神”的数字签名与其下发的病毒签名相同,或系同一家病毒软件厂商所为。用户下载上述软件后,该后门程序即会进入电脑并暗自安装,安装过程中不会出现任何提示,且安装完成后也不会在桌面、开始菜单中创建任何相关快捷方式

iexplore(iexplore.exe)

根据“火绒威胁情报系统”监测发现,万能ys、万能x图、Clover等多款软件正在静默推广后门程序“眼睛的守护神”,截至到目前,已有几十万用户被捆绑安装该后门程序。该后门程序被捆绑安装至用户电脑后,会通过远程服务器下载病毒 ,并静默推广鲁大师手机模拟大师等其它多款软件。通过查验签名得知,“眼睛守护神”的数字签名与其下发的病毒签名相同,或系同一家病毒软件厂商所为。

用户下载上述软件后,该后门程序即会进入电脑并暗自安装,安装过程中不会出现任何提示,且安装完成后也不会在桌面、开始菜单中创建任何相关快捷方式,用户很难找到软件功能入口。

安装完毕后,后门程序会通过远程服务器在后台悄悄下载病毒到本地执行。病毒可以劫持用户浏览器首页、暗刷流量,甚至会令安全软件部分防御功能失效。该病毒更加流氓之处在于,将用来刷取流量的页面广告内容全部设置为不可见,病毒在暗刷流量时用户完全无法察觉。此外,该后门程序还会静默推广鲁大师手机模拟大师等其它多款软件。

iexplore(iexplore.exe)

火绒用户使用“火绒安全软件”(个人版4.0与5.0公测版、企业版)最新版即可查杀上述病毒。

作者:NO ONE链接:https://www.zhihu.com/question/66455899/answer/897220772来源:知乎著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

附【分析报告】:

一、 病毒分析

近期火绒发现一款名为眼睛守护神的软件正在广泛传播,该软件实为伪装成正常软件的后门程序。该后门程序会通过C&C服务器配置下载执行的病毒会进行首页劫持、暗刷流量,甚至会使安全软件部分防御功能失效(通过移除正常软件内核回调的方式),除下载执行病毒文件外,该后门程序还会静默推广包括鲁大师手机模拟大师在内的多款软件。通过溯源分析,我们发现该后门程序会通过万能压缩、万能看图、Clover等多款软件以静默推广的方式进行传播。后门程序安装程序与我们截获的其中一个病毒驱动文件均带有“南京星洪科技有限公司”有效数字签名。文件信息,如下图所示:

iexplore(iexplore.exe)

文件信息

数字签名信息,如下图所示:

iexplore(iexplore.exe)

数字签名

眼睛守护神

眼睛守护神安装程序为7z自解压包,安装过程中不会出现任何安装提示,且安装完成后不会在桌面、开始菜单中创建任何相关快捷方式,用户很难找到软件功能入口。眼睛守护神传播病毒流程,如下图所示:

iexplore(iexplore.exe)

眼睛守护神传播病毒流程

上图中调用关系中,EPSvcControl虽然被EPTool调用后执行后续病毒传播逻辑,但是EPTool中也存在相同的云控代码,可以独立下载执行其他文件甚至病毒。EPTool调用EPSvcControl模块,如下图所示

iexplore(iexplore.exe)

调用EPSvcControl.exe模块

EPSvcControl模块被调用后,会从C&C服务器地址hxxp://http://biz.chlbiz.com/files/eyepatron/conf/remaintask.dat下载配置文件。相关代码,如下图所示:

iexplore(iexplore.exe)

下载remaintask.dat文件

下载到文件内容后,通过 BASE64+AES解密(密钥为“xcN2gedfty2iCjkL”)后,得到json格式的推广配置文件。相关代码,如下图所示:

iexplore(iexplore.exe)

解密文件

解密之后的推广配置文件中包含有推广触发条件,主要包含排除的城市名、触发概率、检测的安全软件进程名和推广程序下载地址。经过我们一段时间的跟踪,被下载执行的病毒文件在今年7月之前为acm.exe(释放驱动劫持首页、暗刷流量),在7月份之后被下载执行的病毒文件为InstExe_????.exe(流量暗刷,下文中称其为InstExe),且至今该病毒依然在进行更新。病毒传播时间线,如下图所示:

iexplore(iexplore.exe)

病毒传播时间线

下载执行InstExe病毒文件的相关配置内容,如下图所示:

iexplore(iexplore.exe)

配置文件

下载执行acm.exe的相关配置,如下图所示:

iexplore(iexplore.exe)

配置文件

acm.exe

acm.exe会释放加载随机名病毒驱动,驱动成功加载后会通过注入进程的方式劫持浏览器首页,并创建浏览器控件窗体进行流量暗刷。该病毒进行首页劫持时现象,如下图所示:

iexplore(iexplore.exe)

首页劫持现象

现阶段该病毒注入explorer后会在其创建的浏览器控件中显示C&C服务器页面hxxps://http://whale123.com/stat/corp.html(站长统计)和hxxps://http://whale123.com/stat/ie.php(流量暗刷),用来刷取用户流量。由于病毒创建的浏览器控件所在窗体在用户可视范围之外,所以在刷取流量时用户不会有任何察觉。窗体位置相关信息,如下图所示:

iexplore(iexplore.exe)

窗体位置相关信息

相关窗体,如下图所示:

iexplore(iexplore.exe)

浏览器控件窗体

随机名驱动

acm.exe运行后,首先会释放加载随机名病毒驱动。该病毒驱动文件同样也带有“南京星洪科技有限公司”有效数字签名,与眼睛守护神后门程序使用的数字签名相同,且该病毒由眼睛守护神后门程序进行传播,所以上述二者具有同源性。如下图所示:

iexplore(iexplore.exe)

病毒驱动数字签名信息

病毒驱动的主要功能是将恶意代码注入到explorer.exe、iexplore.exe等进程中进行首页劫持和流量暗刷。释放注册病毒驱动相关代码,如下图所示:

iexplore(iexplore.exe)

释放加载病毒驱动相关代码

病毒驱动主要功能分为两个部分,将恶意代码注入到指定进程、删除其他驱动注册的回调函数。该病毒驱动加载后,首先会初始化注入相关的数据,包括需要注入的恶意代码数据、系统版本等。有意思的是,该病毒为了提高自身的隐蔽性,病毒安装后的前60天与大于60天后注入的恶意代码内容不是相同的。前60天仅会通过C&C服务器中搭建的跳转页面劫持推广计费名,并不会改变最终的访问地址;60天之后,只要是指定的浏览器进程启动,都会将启动参数劫持为带有其自身推广计费名的2345导航链接。注入数据相关初始化代码,如下图所示:

iexplore(iexplore.exe)

初始化注入数据

在注入资源初始化时,会将需要注入的进程名列表进行分割后,逐个计算CRC32,用于后续注入操作。相关代码,如下图所示:

iexplore(iexplore.exe)

将进程名逐个计算CRC32

被恶意代码进程注入的软件列表,如下图所示:

iexplore(iexplore.exe)

软件列表

注入功能主要通过进程回调和模块加载回调实现,当进程启动时,病毒注册的进程回调负责将需要注入的进程PID加入到需要注入的数据列表中,之后在模块加载回调中将恶意代码注入到指定进程。进程回调相关代码,如下图所示:

iexplore(iexplore.exe)

进程回调

在记录注入进程时,会判断进程名的CRC32是否在需要注入的进程列表中,之后再根据进程的平台版本(x64/x86)插入到不同的进程列表中。相关代码,如下图所示:

iexplore(iexplore.exe)

将进程PID插入到进程列表

在模块加载回调中,如果发现当前加载模块的PID在进程列表中则会根据进程的平台版本(x64/x86)判断需要获取调用LdrLoadDll、Wow64ApcRoutine、LdrGetProcedureAddress、NtProtectVirtualMemory函数地址进行进程注入。如下图所示:

iexplore(iexplore.exe)

模块加载回调

插入APC相关代码,如下图所示:

iexplore(iexplore.exe)

插入APC相关代码

除此之外,病毒驱动还会创建内核线程删除其他软件进程回调和模块加载回调。首先,病毒代码会获取需要放过的驱动模块基址和模块范围(相当于白名单)。之后在PsSetCreateProcessNotifyRoutine函数二进制代码中找到进程回调函数队列,将除白名单以外的所有进程回调移除。有意思的是,除系统驱动程序和病毒自身外,相关病毒代码中仅会排除360安全卫士名为“360FsFlt.sys”和“hookport.sys”的驱动程序。被排除的驱动白名单,如下图所示:

iexplore(iexplore.exe)

白名单

相关代码,如下图所示:

iexplore(iexplore.exe)

移除进程回调

然后再通过PsSetLoadImageNotifyRoutineEx或者PsSetLoadImageNotifyRoutine获取模块加载回调函数队列,将白名单以外的回调移除。相关代码,如下图所示:

iexplore(iexplore.exe)

那问题来了了,对于资源管理器的标签有没有替代者

iexplore(iexplore.exe)

简介

QTTabBar是一款可以让你在Windows资源管理器中使用Tab多标签功能的小工具。从此以后工作时不再遍布文件夹窗口,还有给力的文件夹预览功能,大大提高了你工作的效率。就像IE 7和Firefox、Opera那样的。QTTabBar还提供了一些功能插件。

使用方法/Usage

请安装 net framework 3.5/Please install net framework 3.5 下载/downloadiexplore(iexplore.exe)

运行安装包文件,安装QTTabBar资源管理器->查看->选项->(QTTabbar & Buttons ) 【win10】资源管理器中,组织—>布局—>菜单栏 【win10以下】右键菜单栏右方的空白地区—>勾选QTTabBar等工具栏—>按Alt+M—>重启explorer或重启计算机iexplore(iexplore.exe)

报错日志路径 C:UsersAdministratorAppDataRoamingQTTabBarQTTabBarException.log

如何检查插件是不是被禁用了?

qttabbar 是通过加载项启动的。 IE和资源管理器SHDocVw提供接口进行加载。

某些安全软件可能会误认为插件是一些广告或者风险软件会识别这个加载项为风险软件

可能会被禁用掉,甚至删除。

IE的路径

C:Program Files (x86)Internet Explorer

打开加载项

iexplore(iexplore.exe)

检查插件是不是被禁用了,有些安全软件会禁止你加载插件

iexplore(iexplore.exe)

安装软件时报2503 2502错误解决方法

iexplore(iexplore.exe)

iexplore(iexplore.exe)

功能预览

iexplore(iexplore.exe)

iexplore(iexplore.exe)

iexplore(iexplore.exe)

iexplore(iexplore.exe)

原创文章,作者:华仁什么意思,如若转载,请注明出处:http://www.hfseoer.cn/news/8871.html

联系我们

在线咨询:点击这里给我发消息

QQ:1157732865

工作时间:周一至周五,9:30-18:30,节假日休息