淘客IE绑票技术研究分析
日期:2014-05-16 浏览次数:20902 次
淘客IE劫持技术研究分析
样本作用:访问www.taobao.com 自动跳转到www.baidu.com
研究目的:研究程序功能原理。
该样本运行后点开始测试行为如下:(动手能力强的可以自己分析研究下,如有遗漏请指出)打开文件 C:\WINDOWS\system32\SHELL32.dll
打开文件 C:\WINDOWS\system32\shdocvw.dll
创建鼠标钩子: WH_MOUSE
创建键盘钩子: WH_KEYBOARD
访问远程文件: w w w。j d t bk。com/tbk/tbpid.txt
打开文件 C:\WINDOWS\system32\stdole2.tlb
读取远程文件: w w w。j d t bk。com/tbk/tbpid.txt
访问远程文件: w w w。j d t bk。com/tbk/tz.txt
读取远程文件: w w w。j d t bk。com/tbk/tz.txt
访问Windows Socket Interface 接口
但是我还是没明白这个程序是如何实现检测并URL跳转的,根据主动防御监测,点开始后会启动C:\Program Files\Internet Explorer\IEXPLORE.EXE 但不显示窗口,用途不明。(如果阻止启动IEXPLORE.EXE程序依旧正常并能跳转。)
哪位高手分析分析,看看这个跳转到底是如何实现的。
------解决方案--------------------
轻轻的我来了,带着袋子装分来了
样本作用:访问www.taobao.com 自动跳转到www.baidu.com
研究目的:研究程序功能原理。
该样本运行后点开始测试行为如下:(动手能力强的可以自己分析研究下,如有遗漏请指出)打开文件 C:\WINDOWS\system32\SHELL32.dll
打开文件 C:\WINDOWS\system32\shdocvw.dll
创建鼠标钩子: WH_MOUSE
创建键盘钩子: WH_KEYBOARD
访问远程文件: w w w。j d t bk。com/tbk/tbpid.txt
打开文件 C:\WINDOWS\system32\stdole2.tlb
读取远程文件: w w w。j d t bk。com/tbk/tbpid.txt
访问远程文件: w w w。j d t bk。com/tbk/tz.txt
读取远程文件: w w w。j d t bk。com/tbk/tz.txt
访问Windows Socket Interface 接口
但是我还是没明白这个程序是如何实现检测并URL跳转的,根据主动防御监测,点开始后会启动C:\Program Files\Internet Explorer\IEXPLORE.EXE 但不显示窗口,用途不明。(如果阻止启动IEXPLORE.EXE程序依旧正常并能跳转。)
哪位高手分析分析,看看这个跳转到底是如何实现的。
------解决方案--------------------
轻轻的我来了,带着袋子装分来了
免责声明: 本文仅代表作者个人观点,与爱易网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
