315安全网论坛社区 » 『反病毒技术交流区』 » 专杀工具 » 4199专杀工具发布！（解决访问安全网站跳转到仿hao123页面问题）

查看完整版本: 4199专杀工具发布！（解决访问安全网站跳转到仿hao123页面问题）

admin 2007-3-7 19:14

4199专杀工具发布！（解决访问安全网站跳转到仿hao123页面问题）

[size=12px]专杀工具使用方法
[list=1][*]使用4199专杀工具进行查杀[*]查杀完毕后重启计算机[*]再用360安全卫士查杀一次[/list]4199专杀工具下载地址：

[url=http://www.315safe.com/download/download.asp?downid=11588]http://www.315safe.com/download/download.asp?downid=11588[/url]

【4199简介】
1.域名劫持，当访问一些安全站点时将自动跳转到一个仿hao123的页面
2.自动保护，常规方法无法彻底删除
3.隐藏启动

【4199具体分析】
1.自动保护
(1)Boot Extender加载，使用原生ZwXXXXKey函数操作注册表，检测自己的服务项是否被删除，如果被删除，则暴力重写回去
(2)使用FSD HOOK,保护自己的驱动文件和DLL不被删除
2.隐藏启动
驱动检测到系统启动后即向RunOnce启动项写一个启动项，然后该项目就会被删除，其DLL就无痕迹地加载了，使用任何软件无法检测出其DLL的启动项
3.域名劫持
使用了特殊的手段，通过ZwCreateFile的hook，以及FSD HOOK,当检测到以下进程读取hosts表时，将它们的读写定位到自己的一个hosts文件:
theworld.exe( 世界之窗浏览器)
svchost.exe
services.exe (以上两个是系统的服务以及域名解析进程，可以影响其他的大部分网络访问)
theworldxp.exe (世界之窗浏览器xp)
maxthon.exe (傲游浏览器)
max.exe (同上)
ttraveler.exe (腾讯浏览器)
myie.exe (MyIE浏览器)
greenbrowser.exe (绿色浏览器)
firefox.exe (火狐浏览器)
被修改hosts文件的内容为:
61.141.31.11 [url=http://www.kzdh.com/][color=#0000ff]www.kzdh.com[/color][/url]
61.141.31.11 [url=http://www.7255.com/][color=#0000ff]www.7255.com[/color][/url]
61.141.31.11 [url=http://www.7322.com/][color=#0000ff]www.7322.com[/color][/url]
61.141.31.11 [url=http://www.7939.com/][color=#0000ff]www.7939.com[/color][/url]
61.141.31.11 [url=http://www.piaoxue.com/][color=#0000ff]www.piaoxue.com[/color][/url]
61.141.31.11 [url=http://www.feixu.net/][color=#0000ff]www.feixu.net[/color][/url]
61.141.31.11 [url=http://www.6781.com/][color=#0000ff]www.6781.com[/color][/url]
61.141.31.11 [url=http://www.7b.com.cn/][color=#0000ff]www.7b.com.cn[/color][/url]
61.141.31.11 [url=http://www.918188.com/][color=#0000ff]www.918188.com[/color][/url]
61.141.31.11 hao.allxue.com
61.141.31.11 good.allxue.com
61.141.31.11 baby.allxue.com
61.141.31.11 [url=http://www.allxue.com/][color=#0000ff]www.allxue.com[/color][/url]
61.141.31.11 about.lank.la
61.141.31.11 [url=http://www.x114x.com/][color=#0000ff]www.x114x.com[/color][/url]
61.141.31.11 [url=http://www.37ss.com/][color=#0000ff]www.37ss.com[/color][/url]
61.141.31.11 [url=http://www.7k.cc/][color=#0000ff]www.7k.cc[/color][/url]
61.141.31.11 [url=http://www.73ss.com/][color=#0000ff]www.73ss.com[/color][/url]
61.141.31.11 [url=http://www.hao123.com/][color=#0000ff]www.hao123.com[/color][/url]
61.141.31.11 [url=http://www.81915.com/][color=#0000ff]www.81915.com[/color][/url]
61.141.31.11 [url=http://www.9991.com/][color=#0000ff]www.9991.com[/color][/url]
61.141.31.11 [url=http://www.my123.com/][color=#0000ff]www.my123.com[/color][/url]
61.141.31.11 [url=http://www.haokan123.com/][color=#0000ff]www.haokan123.com[/color][/url]
61.141.31.11 [url=http://www.5566.net/][color=#0000ff]www.5566.net[/color][/url]
61.141.31.11 [url=http://www.gjj.cc/][color=#0000ff]www.gjj.cc[/color][/url]
61.141.31.11 [url=http://www.2345.com/][color=#0000ff]www.2345.com[/color][/url]
61.141.31.11 [url=http://www.123wa.com/][color=#0000ff]www.123wa.com[/color][/url]
61.141.31.11 [url=http://www.ku886.com/][color=#0000ff]www.ku886.com[/color][/url]
61.141.31.11 [url=http://www.5icrack.com/][color=#0000ff]www.5icrack.com[/color][/url]
61.141.31.11 [url=http://www.jjol.cn/][color=#0000ff]www.jjol.cn[/color][/url]
61.141.31.11 [url=http://www.xinhai168.com/][color=#0000ff]www.xinhai168.com[/color][/url]
61.141.31.11 ooooos.com
61.141.31.11 [url=http://www.ooooos.com/][color=#0000ff]www.ooooos.com[/color][/url]
61.141.31.11 [url=http://www.8757.com/][color=#0000ff]www.8757.com[/color][/url]
61.141.31.11 4199.5009.com
61.141.31.11 [url=http://www.13886.cn/][color=#0000ff]www.13886.cn[/color][/url]
61.141.31.11 [url=http://www.8757.com/][color=#0000ff]www.8757.com[/color][/url]
61.141.31.11 [url=http://www.baidu345.com/][color=#0000ff]www.baidu345.com[/color][/url]
61.141.31.11 [url=http://www.dedewang.com/][color=#0000ff]www.dedewang.com[/color][/url]
61.141.31.11 allxun.5009.cn
61.141.31.11 4199.5009.cn
61.141.31.11 yahoo.5009.cn
61.141.31.11 tom.5009.cn
61.141.31.11 zh130.5009.cn
61.141.31.11 piaoxue.5009.cn
61.141.31.11 3448.5009.cn
61.141.31.11 ttmp3.5009.cn
61.141.31.11 fx120.5009.cn
61.141.31.11 7939.5009.cn
61.141.31.11 99488.5009.cn
61.141.31.11 7333.5009.cn
61.141.31.11 [url=http://www.ld123.com/][color=#0000ff]www.ld123.com[/color][/url]
61.141.31.11 [url=http://www.anyiba.com/][color=#0000ff]www.anyiba.com[/color][/url]
61.141.31.11 [url=http://www.999991.cn/][color=#0000ff]www.999991.cn[/color][/url]
61.141.31.11 [url=http://www.hao123.cn/][color=#0000ff]www.hao123.cn[/color][/url]
以上的55个网站将全部被重定向到61.141.31.11，页面和hao123完全一样，但并不是HAO123的，据查IP地址是4199.com的,之前也被其利用来屏蔽其它网址
这个hosts表修改手段无法被目前任何相关检查软件检查到
下面是驱动部分技术分析:
autoprt.sys version 1-30
1.Boot加载，在load时就取到ZwOpenKey,ZwSetValueKey,ZwClose的地址
等到SystemRoot初始化完毕后再通过分析nt kernel获取ZwOpenKey,ZwSetValueKey,ZwClose的地址，总之确保SystemThread2用来写注册表的Zw*Key函数是没被HOOK的
2.SystemRoot加载成功后，即hook 其所在的FSD的IRP_MJ_SETINFORMATION
(这里IRP_MJ_CREATE没有被启用）
IRP_MJ_SETINFORMATION的HOOK作用是过滤对其驱动文件和DLL文件的SETINFORMATION(IRP_MJ_FILE_SYSTEM_CONTROL,IRP_MJ_QUERY_VOLUME_INFORMATION)操作

3.hook ZwCreateFile,ZwLoadDriver
ZwCreateFile将以下进程对system32\\drivers\\etc\\hosts的打开重定位到其自定义的hosts文件:winttrs上:
theworld.exe
svchost.exe
services.exe
theworldxp.exe
maxthon.exe
max.exe
ttraveler.exe
myie.exe
greenbrowser.exe
firefox.exe
这样第三方的检测工具或者用记事本打开就无法发现hosts文件被篡改
winttrs由r3部分的dll从固定地址download下来
IRP_MJ_CREATE的HOOK也是做同样的工作，不过没有启用
ZwLoadDriver的HOOK阻止包含了isdrv和ispubdrv的驱动项目启动
即禁止Icesword加载

4.驱动在boot时使用PsSetCreateProcessNotifyRoutine创建一个CreateProcessNotifyRoutine
当检测到userinit.exe被加载时就会启动SystemThread2,作用是向\registry\machine\software\microsoft\windows\currentversion\runonce
写入
%%systemroot%%\system32\rundll32.exe %%systemroot%%\system32\%s.dll,Run
否则就会执行SystemThread1,直到检测到Winlogon进程结束时停止

5.Boot时会创建SystemThread1,作用时检测自身的服务项是否正确，若不正确，则重写之[/size]

页: [1]

查看完整版本: 4199专杀工具发布！（解决访问安全网站跳转到仿hao123页面问题）