当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 细数3721(雅虎助手)两年来的流氓升级史

杀毒防毒
Win XP SP2拖放IE窗口可能引发黑客攻击
教你如何防止脚本病毒执行的通用方法
高手支招 巧妙利用系统进程手工杀毒
恶意软件威胁方法及防护技巧
病毒分类全知道 准确用好你手头的杀毒软件
深入解析金山毒霸6的三个特殊应用技巧
D2OL 让网络保卫大家的健康
专偷网银资料 提防“小燕表妹”造访
Linux系统下的病毒发展及其分类
浏览图片需小心 系统漏洞会染恶性病毒
操作系统中几个容易被误认为病毒的文件
使用Honeypots同计算机蠕虫病毒作斗争
毒霸提醒您:设置MSN可自动防卸MSN小尾巴
让Ghostbusters为电脑保驾护航
病毒杀不死的原因分析及对策
下载软件勿忘防毒:嵌入式监控确保上网无忧
在网吧如何防止病毒和快速杀毒
防治网络蠕虫病毒的技巧及其策略
让病毒自动还原被恶意修改键值
用WinRAR解析木马病毒的捆绑原理

杀毒防毒 中的 细数3721(雅虎助手)两年来的流氓升级史


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 54 ::
收藏到网摘: n/a

=================================

注意:此文为技术分析,不带任何偏向立场

由本文反汇编某厂商的病毒文件或曰恶意竞争文件而导致的

任何法律问题,本人一概不负责 by MJ0011

=================================

刚才分析了Yahoo上网助手的34号patch包,找到一些同360安全卫士PK的有意思的东西,便对上网助手的patch感兴趣起来了,想看看之前的33个patch包都是干了什么事呢?其中patch03,04,05,06,09,10,11,16,18,22,07,24,25,26,28,29,32可以下载

其他编号的想必是迫于压力又或是某些不可告人的原因

被撤消了(就象之前分析的patch34) 所以无法下载

patch最早从04年02月01日开始

最新的patch是06年10月10日

见证了3721及其附属产品2年多的流氓史

那么挨个看一下他们分别都干了些什么:

<1>.

03号patch:

日期 01/02/04 13:38:49(注:时间格式:月/日/年,直接从flashget上复制过来的)

主要是对system32driversetchosts也就是系统hosts文件进行恶意篡改,将其 中对3721.net,3721.com的屏蔽修改回来

主要代码截取如下:

push ebx ; FILE *

push 1 ; size_t

push esi ; size_t

push edi ; void *

call ds:fread

and byte ptr [edi+esi], 0

push edi

call sub_1000222B

mov esi, ds:strstr

mov ebx, offset s__3721_com ; ".3721.com"

; x

push ebx ; char *

push edi ; char *

call esi ; strstr

add esp, 1Ch

test eax, eax

jz short loc_100021C8

loc_100021C8: ; ".3721.net"

mov ebx, offset s__3721_net

push ebx ; char *

push edi ; char *

call esi ; strstr

pop ecx

test eax, eax

pop ecx

jz short loc_100021EF

;以上是恢复3721.com和3721.net的屏蔽

loc_100022A7:

push 0

call sub_10002331

test eax, eax

pop ecx

jz short loc_100022BA

offset s_System32Drive ; "system32driversetchosts"

jmp short loc_100022BF

;此处判断操作系统版本并取得不同版本windwos的hosts文件路径

<2>.

04号patch:

日期 01/18/04 10:38:24

04号patch带了一个patch41.dat

该patch和patch34一样,同样会将自己自毁

且代码完全一样

patch41.dat是个加密了的文件,算法有点古怪,我估计是类似“竞争对手网站屏蔽表这样的东西”

<3>.

05号patch

日期 04/22/04 15:07:35

更新一个clsid

<4>.

06号patch