细数3721(雅虎助手)两年来的流氓升级史

最新推荐文章于 2023-04-23 08:00:00 发布
最新推荐文章于 2023-04-23 08:00:00 发布
阅读量2k 收藏
点赞数
分类专栏: 经典转帖 文章标签: patch yahoo download 腾讯 代码分析 360

=================================刚才分析了Yahoo上网助手的34号patch包,找到一些同360安全卫士PK的有意思的东西,便对上网助手的patch感兴趣起来了,想看看之前的33个patch包都是干了什么事呢?其中patch03,04,05,06,09,10,11,16,18,22,07,24,25,26,28,29,32可以下载

注意:此文为技术分析,不带任何偏向立场

由本文反汇编某厂商的病毒文件或曰恶意竞争文件而导致的

任何法律问题,本人一概不负责 by MJ0011

=================================

 

其他编号的想必是迫于压力又或是某些不可告人的原因

被撤消了(就象之前分析的patch34) 所以无法下载

patch最早从04年02月01日开始

最新的patch是06年10月10日

见证了3721及其附属产品2年多的流氓史

那么挨个看一下他们分别都干了些什么:

<1>.

03号patch:

日期 01/02/04 13:38:49(注:时间格式:月/日/年,直接从flashget上复制过来的)

主要是对system32driversetchosts也就是系统hosts文件进行恶意篡改,将其 中对3721.net,3721.com的屏蔽修改回来

主要代码截取如下:

push ebx ; FILE *

push 1 ; size_t

push esi ; size_t

push edi ; void *

call ds:fread

and byte ptr [edi+esi], 0

push edi

call sub_1000222B

mov esi, ds:strstr

mov ebx, offset s__3721_com ; ".3721.com"

; x

push ebx ; char *

push edi ; char *

call esi ; strstr

add esp, 1Ch

test eax, eax

jz short loc_100021C8

loc_100021C8: ; ".3721.net"

mov ebx, offset s__3721_net

push ebx ; char *

push edi ; char *

call esi ; strstr

pop ecx

test eax, eax

pop ecx

jz short loc_100021EF

;以上是恢复3721.com和3721.net的屏蔽

loc_100022A7:

push 0

call sub_10002331

test eax, eax

pop ecx

jz short loc_100022BA

offset s_System32Drive ; "system32driversetchosts"

jmp short loc_100022BF

;此处判断操作系统版本并取得不同版本windwos的hosts文件路径

<2>.

04号patch:

日期 01/18/04 10:38:24

04号patch带了一个patch41.dat

该patch和patch34一样,同样会将自己自毁

且代码完全一样

patch41.dat是个加密了的文件,算法有点古怪,我估计是类似“竞争对手网站屏蔽表这样的东西”

<3>.

05号patch

日期 04/22/04 15:07:35

更新一个clsid

<4>.

06号patch

日期 05/13/04 09:58:10

删除SOFTWAREMicrosoftInternet ExplorerActiveX Compatibility下的如下几个键值:

'{B83FC273-3522-4CC6-92EC-75CC86678DA4}'=3721网络实名模块cnsmin.dll

'{4522DBFE-14CD-4A59-AC2A-54BADFDD6D53}'=3721网络实名

'{1B0E7716-898E-48CC-9690-4E338E8DE1D3}'=3721上网助手模块ASSIST.DLL

'{7CA83CF1-3AEA-42D0-A4E3-1594FC6E48B2}'=3721上网助手模块autolive.dll

'{4EDBBAEA-F509-49F6-94D1-ECEC4BE5B686}'=3721中文邮

'{8D898B17-976D-44c1-84E6-AF38842AC9EC}'=3721升级包模块

 

用于恢复类似 恶意软件清理助手,360SAFE,OPIEA,优化大师等在注册表中对3721部分产品的 插件屏蔽

导致屏蔽失效!

删除屏蔽插件的部分代码:

.data:10002197 loc_10002197:

.data:10002197 push dword ptr [edi]

.data:10002199 lea eax, [ebp+pszSubKey]

.data:1000219F push offset s_SoftwareMicro ; "SOFTWAREMicrosoftInternet ExplorerActiveX Compatibility"

.data:100021A4 push offset s_SS ; "%s%s"

.data:100021A9 push 103h ; size_t

.data:100021AE push eax ; char *

.data:100021AF call ds:_snprintf

.data:100021B5 add esp, 14h

.data:100021B8 lea eax, [ebp+pszSubKey]

.data:100021BE push eax ; pszSubKey

.data:100021BF push 80000002h ; hkey

.data:100021C4 call ds:SHDeleteKeyA

.data:100021CA inc esi

.data:100021CB add edi, 4

.data:100021CE cmp esi, dword_10002028

.data:100021D4 jl short loc_10002197

.data:100021D4

.data:100021D6

.data:100021D6 loc_100021D6:

.data:100021D6 pop edi

.data:100021D7 xor eax, eax

.data:100021D9 pop esi

.data:100021DA leave

.data:100021DB retn

<5>.

09号patch

似乎是一个check模块

检查3721部件是否正常(校验码是否正确)

否则会从3721的网站download安装程序重新安装

(url=http://user.3721.com/soft/patch09.htm?fb=0

和http://user.3721.com/soft/patch09.htm?fb=1

)

(可能针对某些清理软件的破坏)

<6>.

10号patch

日期 12/10/04 11:07:21

同样是一个check模块

会检查3721的组件是否正常,若被破坏,则自动释放出patch10.exe(包含在DLL资源中)并执行

部分代码:

push offset s_SAssist3721 ; "%sassist3721"

lea eax, [ebp+var_568]

push edi ; size_t

push eax ; char *

call ebx ; _snprintf

push esi

push offset s_SAssistRepair ; "%sassistrepair.dll"

lea eax, [ebp+pszPath]

push edi ; size_t

push eax ; char *

call ebx ; _snprintf

add esp, 20h

lea eax, [ebp+pszPath]

push eax ; pszPath

call ds:PathFileExistsA

;检查上面几个dll是否存在

test eax, eax

jz loc_100022D3

lea eax, [ebp+Buffer]

push eax

push offset s_SPatch10_exe ; "%spatch10.exe"

lea eax, [ebp+FileName]

push edi ; size_t

push eax ; char *

call ebx ; _snprintf

add esp, 10h

lea eax, [ebp+FileName]

push eax ; lpFileName

...............

................

lea eax, [ebp+hObject]

push eax ; lpProcessInformation

lea eax, [ebp+StartupInfo]

push eax ; lpStartupInfo

push esi ; lpCurrentDirectory

push esi ; lpEnvironment

push esi ; dwCreationFlags

push esi ; bInheritHandles

push esi ; lpThreadAttributes

lea eax, [ebp+CommandLine]

push esi ; lpProcessAttributes

push eax ; lpCommandLine

push esi ; lpApplicationName

call ds:CreateProcessA

;执行patch10.exe

cmp [ebp+hObject], esi

mov edi, ds:CloseHandle

jz short loc_100022C9

;释放并执行patch10.exe

patch10.exe实际上是一个downloader(下载者),会从

http://download.3721.com/download/asrepair.cab?t=%d

下载3721恢复包 恢复被清除的3721

<7>.11号patch

日期 06/17/05 12:22:42

该patch启动后会使用rundll32.exe加载自己

创建一个名为3721CNSINSTSHELL_INSTALLMUTEX_PATCH11的互斥对象

然后释放出一个cab文件,里面是压缩后的wmpns.dll,查了一下,是3721反间谍专家的一个附属 的dll,有恶意软件性质

并会将CNS的Setup程序写入runonce键值(重启后安装CNS网络实名)

将cnsAutoUpdate写入注册表Run键值(每次开机自动执行更新程序)

部分代码:

push offset s_Rundll32_exeS ; "Rundll32.exe %s,RundllEx"

;安装程序,使用rundll32调用

push 104h ; size_t

push ecx ; char *

call ebx ; _snprintf

lea edi, [esp+754h+pvData]

or ecx, 0FFFFFFFFh

xor eax, eax

add esp, 10h

repne scasb

not ecx

dec ecx

lea edx, [esp+744h+pvData]

push ecx ; cbData

push edx ; pvData

push 1 ; dwType

push offset s_Setup ; "Setup"

push offset s_SoftwareMic_2 ; "SoftwareMicrosoftWindowsCurrentVersi"...

;写入runonce键值

push 80000002h ; hkey

call ds:SHSetValueA

mov esi, 1

<8>.16号patch

16号patch是个非常有意思的东西,它会把这个注册表键值设为"no"

HKCUSoftwareTencentTBHEnableTBH

用来打击腾讯的BHO

将腾讯的浏览器插件设为禁止后

该patch将自毁

为了防止别人发现它修改tencent的键值以带来不必要的麻烦,该PATCH中对注册表部分的读写是 加密了的

(呵呵,看了这个之后腾讯会不会去找YAHOO的麻烦呢?)

代码如下:

mov esi, offset s_A709ce5ce8561 ; "A709CE5CE8561FEDE4"

lea edi, [ebp+pszValue]

movsd

movsd

movsd

movsd

movsw

movsb

push 3Ch

xor eax, eax

pop ecx

lea edi, [ebp+var_F5]

rep stosd

stosb

push 0Ah

mov esi, offset s_B108c94af3523 ; "B108C94AF35239CAF0C2B5588CFFD3B4DB1B2FC"...

pop ecx

lea edi, [ebp+pszSubKey]

rep movsd

movsb

push 36h

xor eax, eax

pop ecx

lea edi, [ebp+var_1E3]

rep stosd

stosw

stosb

mov esi, 82h

lea eax, [ebp+pszValue]

push esi ; int

push eax ; char *

call sub_10001067

lea eax, [ebp+pszSubKey]

push esi ; int

push eax ; char *

call sub_10001067

mov esi, offset s_No ; "no"

lea edi, [ebp+pvData]

movsw

movsb

push 40h

xor eax, eax

pop ecx

lea edi, [ebp-411h]

rep stosd

stosb

lea eax, [ebp+pvData]

push eax ; char *

call strlen

add esp, 14h

push eax ; cbData

lea eax, [ebp+pvData]

push eax ; pvData

lea eax, [ebp+pszValue]

push 1 ; dwType

push eax ; pszValue

lea eax, [ebp+pszSubKey]

push eax ; pszSubKey

push 80000001h ; hkey

call ds:SHSetValueA

其中sub_10001067子程序就是将B108C94AF35239CAF0C2B5588CFFD3B4DB1B2FC与 A709CE5CE8561FEDE4进行解密,从而得到HKCUSoftwareTencentTBHEnableTBH这个注册表路 径

然后对其写入键值:no

起到禁止腾讯bho的作用

更有意思的是 我发现了一篇文章:《!腾讯流氓覆灭记!》其中所说的方法和这个patch完全一 致,呵呵 不知两者有何关联

<9>.18号patch

日期 09/23/05 14:44:46

加载2005年的yahoo流氓部分插件:zsmod.dll

这是个3721上网助手卸载后不会完全删除的组件

具体可见那篇著名的<<全面剖析3721及上网助手>>

<10>.22号patch

日期 12/19/05 13:51:49

主要用于从http://download.3721.com/download/CnsMin.cab这个地址download一个cnsmin.cab并安装

也就是自动安装网络实名

没什么新东西,代码就不列了

<11>.07号patch

日期 08/06/04 14:43:07

与04号patch基本一样

只是所带的.dat文件有所更改

自毁

<12>.24号patch

日期 01/25/06 13:28:54

该patch只有一个字节0x20

估计是被丢弃的一个patch

<13>.25号patch

日期 04/24/06 03:41:54

又是一个下载者

会下载:

http://download.3721.com/download/cnsdtu.cab

http://download.3721.com/download/keepmainM.cab

这两个3721相关产品并自动安装之

<14>.26号patch

日期 05/11/06 12:31:19

和25号patch基本一致,还是下载者

会下载:

http://download.3721.com/download/cnsdtu.cab

这个3721相关产品并自动安装之

<15>.28号patch

日期:无

不知道为什么,是一个0字节文件

可能被丢弃

<16>.29号patch

日期 10/10/06 11:46:57

这是为数不多的有意思的patch之一....

资源里有这两个有意思的路径:

1.

d:doworkCnsPatchpatch29sysReleasehack.pdb

(自己承认是hack别人东西的驱动~)

2.

e:mywork360safesrcantidriver

360safe的anti driver(反3721,中搜等的一些流氓驱动的占坑驱动)

特点:

1.自毁

2.删除360SAFE的驱动/注册表项

3.释放并注册一个在boot时会加载的驱动,与360safe的pnp占坑驱动进行PK,看谁加载得快,就把谁给删了(如果那之前360SAFE的服务键值还没被删的话)

<17>.32号patch

日期 09/22/06 09:19:36

会干掉很棒小秘书:P

包括hbhelper.dll,tbhelper.dll,hbclient,启动项,就连“很棒小秘书.lnk"也不放过...(流氓自个打架...)

会释放一个hack驱动,不过不会以BOOT方式加载

<18>.34号驱动

在之前的文章里有分析:

http://www.cnbeta.com/modules.php?name=News&file=article&sid=16531

== Yahoo上网助手自杀式破坏360safe的程序代码分析

完了

分析这多,累死偶也...后面几个懒得列代码了

偶把3721的老底给揭了...不知道某厂商会不会派杀手追杀偶...

其中还涉及到yahoo与tencent,很棒,360间PK,争夺客户端...

因为匆匆分析这18个文件,又都是静态分析...所以估计难免会有错误...还请高手指正...

hkbyest
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
雅虎助手(曾经的经典)
07-29
雅虎助手,曾经的经典 浏览器被破坏的恢复
内核驱动漏洞与攻击预防-MJ0011
zhuhuibeishadiao
03-31 1651
总结: 1. 不要使用MmIsAddressValid函数,这个函数对于校验内存没有任何意义 2. 一定要保证在try_execpt内完成你所有对于用户态内存的任何操作 3.留心长度为0的缓存、为NULL的缓存指针和缓存对齐 4.不正确的内核函数调用引发的问题 5.给驱动提供的功能性接口必须小心 6.设备控制尽量使用BUFFERED IO,而且一定要使用SystemBuffer,如果不
中国十大最狠的流氓网站曝光!送查杀流氓的工具
热门推荐
hzbairly的专栏
10-12 30万+
谁推动了流氓软件的发展?谁又从流氓软件中获利,揭开流氓软件背后的始佣者,网易科技独家选出中国十大流氓网站。 以下是网易科技评选的十大流氓网站:   3721网站的出现注定会写入中国互联网历史。他的意义在于它将十年中国互联网分为了两段,一段是纯洁的互联网,一段就是一直到现在的互联网流氓时代。当中国互联网进入2006年,丝毫没有看到流氓时代逝去的迹象,反而越演越烈。各式各样的流氓软件满天横飞,争吵与辱
十大流氓软件
欢迎来到iCOLIN的Blog
04-28 12万+
一、众矢之地——3721  3721的上网助手、地址栏搜索及网络实名可谓是老牌的流氓软件了,它存在的问题最多,也是网络上网友骂声最多的,理所当然地名列榜首。  经常在网上冲浪兴致正高时,电脑突然一阵慢如蜗牛,十有八九是因为要弹出3721的安装对话框。他经常不知不觉的潜入电脑,添加用户不需要的按钮、IE工具条、在地址菜单项中添加非法内容,还修改注册表设置开机自动启动。  此外,它经常
中国互联网十大流氓网站
思考的空间
10-14 12万+
1、3721.com(中文实名)  这个是流氓软件的开山鼻祖,就是因它将中国互联网带入到一个流氓时代,这里就不作再多说,相信大多数人都装过这个网站的插件。  2、MOP.com(猫扑)  猫扑从2004年开始流量一路狂涨,现在 Alexa 68位,这其中与它的“播霸”与前期与其它流氓合作推广是分开不的。  3、Zhongsou.com(中搜)  中搜在网友中的骂名是除了3721最大的,“网络猪”与
雅虎助手下载
05-23
雅虎助手
雅虎助手v3.6官方免费安装版
07-29
雅虎助手是一款非常好用的网络辅助工具,该工具可对你的电脑安全进行一系列的管理修复,如IE修复,插件管理,IE外观修复,广告拦截,隐私和使用痕迹清理,欢迎下载体验。 功能特色 搜索 翻译、防骚扰功能(IE修复、...
雅虎助手yassist4
10-26
雅虎助手 清理网页 杀毒,小工具,清理木马,扫除恶意软件
如何从内核态重启系统
mj0011的Rootkit科技实验室
02-17 5352
 如何从内核态重启系统呢,一个经常被推荐的简单的解决办法是 用驱动来通知一个用户态的服务并调用ExitWindowsEx函数但是如果你非要想在内核态做这件事呢?那么你可以使用HalReturnToFirmware或NtShutdownSystem函数但是这些函数都是无文档的,如果你使用它们,你的驱动可能无法通过WHQL认证这里提供一种简单的、完全有文档的方法:使用下面的函数
MJ0011_Reversing Windows8-Interesting Features of Kernel Security
07-29
MJ0011_Reversing Windows8-Interesting Features of Kernel Security
3721卸载方法
05-12
3721网站的卸载方法, 3721卸载方法
机器狗SCSI命令版逆向代码
02-22
其他已经不需多说了阿 怎么感觉MJ0011的Tophet有借鉴机器狗的味道呢!
十大流氓软件及卸载方法整理
LAvA WORLD
02-23 12万+
第一名:3721上网助手 所属公司:北京三七二一科技有限公司厂商网址:www.3721.com存在问题:1、 强制安装 2、 浏览器劫持(添加用户不需要的按钮、ie地址菜单项中添加非法内容)3、 干扰其他软件运行4、无法彻底卸载卸载方法:下载专用卸载工具卸载,工具请见下面链接名称:“3721卸载工具 ”,软件语言 简体中文 整理时间 2005-2-13 2:50:57 软件类型 绿色软件 授权
十大常遇流氓软件完全卸载全攻略
chendehui4work的备忘录专栏(邮件地址:[email protected]
01-17 1万+
  提起流氓软件,可能有些人还比较陌生,其它已经来到你的身边。如何卸载这些软件是让我们非常头痛问题,本文就列举了十大流氓软件的卸载方法供大家参考。   一.3721(现更名阿里巴巴)的卸载    1,使用“开始”-->“程序”--->“3721相关程序的卸载选项”把3721卸载了(上网助手捆绑了3721的)。如果开始菜单找不到,请到“控制面板”--->“添加或删除程序”中找“上网助手
在网络安全领域,比较牛的中国客有哪些?
2301_77162959的博客
04-23 1105
1994年前后,国内出现了最早一批客,其中以龚蔚、天山等顶级客为代表;2000年左右,第二代客出现,他们的技术特点与前辈相仿,深入研究网络安全技术,有自己的理论和产品;而后第三代客的代表是“中国红客联盟”,他们在中美客大战中频频见诸媒体。
炮打流氓软件
lanlin kinglon的专栏
07-01 4万+
 炮打流氓软件        --我的一张大字报作者: kinglon([email protected],[email protected]) (以后自己可以利用搜索引擎找到本文)关键字:Terminator Lab,卡巴威尔,流氓软件,清除,专杀 (以后自己可以利用搜索引擎找到本文)日期: 2006-7-01            全国第一个流氓软件排行和评选已经出来了,写的何等好阿!请网友们
中国十大最狠的流氓网站曝光!
李德成的网志 × lidecheng's WeBlog
12-17 6万+
 动了流氓软件的发展?谁又从流氓软件中获利,揭开流氓软件背后的始佣者,网易科技独家选出中国十大流氓网站. 以下是网易科技评选的十大流氓网站: 1、3721.com(中文实名) screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor=hand; this.alt=Click h
python爬取雅虎图片
最新发布
05-19
下面是一份Python代码,可以爬取Yahoo图片并保存到本地: ```python import requests from bs4 import BeautifulSoup import urllib.request url = "https://www.yahoo.com/news/photos" response = requests.get(url) soup = BeautifulSoup(response.text, "html.parser") image_tags = soup.find_all("img") for image_tag in image_tags: image_url = image_tag.get("src") if "https" in image_url: image_name = image_url.split("/")[-1] urllib.request.urlretrieve(image_url, image_name) print(f"Image saved: {image_name}") ``` 这段代码使用了Requests和BeautifulSoup库来获取网页内容和解析HTML。然后,它使用urllib库将图片保存到本地。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值