当前位置: 首页 > 图文教程 > 网络安全 > 杀毒防毒 > 细数3721(雅虎助手)两年来的流氓升级史

杀毒防毒
来自微软的免费杀毒软件抢先试用
金山毒霸全新功能体验版抢先曝光
IRC后门病毒技术分析及手动清除方法
MSN性感鸡变种刚过,QQ病毒又来捣乱
Win XP中震荡波后应采取的措施
病毒应急处理中心提醒防范高波病毒及其变种
北京公安局、瑞星发布6月13日危险病毒警报
防御计算机病毒十大必知步骤
网吧用QQ隐私难保 黑客工具窥视QQ聊天记录
用MailSpy拦截局域网内危险的病毒邮件
如何根据名称识别计算机病毒
Norton AntiVirus 2005测试版截图大赏
快速干掉感染Internet Explorer的恶意程序
邮件病毒入侵后五个清除步骤
Win 2000防毒从安装系统时开始
木马病毒清除的通用解法
快速有效地封杀—巧利用Iris来查找蠕虫病毒
防病毒必务宝典—计算机病毒专杀进程列表
网络安全之特洛伊木马攻防战略
3721上网助手清除专家

杀毒防毒 中的 细数3721(雅虎助手)两年来的流氓升级史


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 63 ::
收藏到网摘: n/a

=================================

注意:此文为技术分析,不带任何偏向立场

由本文反汇编某厂商的病毒文件或曰恶意竞争文件而导致的

任何法律问题,本人一概不负责 by MJ0011

=================================

刚才分析了Yahoo上网助手的34号patch包,找到一些同360安全卫士PK的有意思的东西,便对上网助手的patch感兴趣起来了,想看看之前的33个patch包都是干了什么事呢?其中patch03,04,05,06,09,10,11,16,18,22,07,24,25,26,28,29,32可以下载

其他编号的想必是迫于压力又或是某些不可告人的原因

被撤消了(就象之前分析的patch34) 所以无法下载

patch最早从04年02月01日开始

最新的patch是06年10月10日

见证了3721及其附属产品2年多的流氓史

那么挨个看一下他们分别都干了些什么:

<1>.

03号patch:

日期 01/02/04 13:38:49(注:时间格式:月/日/年,直接从flashget上复制过来的)

主要是对system32driversetchosts也就是系统hosts文件进行恶意篡改,将其 中对3721.net,3721.com的屏蔽修改回来

主要代码截取如下:

push ebx ; FILE *

push 1 ; size_t

push esi ; size_t

push edi ; void *

call ds:fread

and byte ptr [edi+esi], 0

push edi

call sub_1000222B

mov esi, ds:strstr

mov ebx, offset s__3721_com ; ".3721.com"

; x

push ebx ; char *

push edi ; char *

call esi ; strstr

add esp, 1Ch

test eax, eax

jz short loc_100021C8

loc_100021C8: ; ".3721.net"

mov ebx, offset s__3721_net

push ebx ; char *

push edi ; char *

call esi ; strstr

pop ecx

test eax, eax

pop ecx

jz short loc_100021EF

;以上是恢复3721.com和3721.net的屏蔽

loc_100022A7:

push 0

call sub_10002331

test eax, eax

pop ecx

jz short loc_100022BA

offset s_System32Drive ; "system32driversetchosts"

jmp short loc_100022BF

;此处判断操作系统版本并取得不同版本windwos的hosts文件路径

<2>.

04号patch:

日期 01/18/04 10:38:24

04号patch带了一个patch41.dat

该patch和patch34一样,同样会将自己自毁

且代码完全一样

patch41.dat是个加密了的文件,算法有点古怪,我估计是类似“竞争对手网站屏蔽表这样的东西”

<3>.

05号patch

日期 04/22/04 15:07:35

更新一个clsid

<4>.

06号patch