kbasesrv篡改主页分析

人马座实验室 2016-04-29 14:33:00

0x00 前言


话说最近浏览器首页莫名其妙变成了金山毒霸网址大全,本来以为是运营商劫持,但仔细排查一遍,才发现是一个名叫kbasesrv的程序在搞鬼,它的数字签名是“Beijing Kingsoft Security software Co.,Ltd”,确定是金山旗下的软件无疑。

主页劫持本来已经见怪不怪了,一般是推广联盟的渠道商为了赚钱而各种手段无所不用其极,但是像金山这样的名门大厂亲自动手偷偷摸摸篡改主页的,还真是比较少见。今天是429首都网络安全日,一家安全公司却干起了流氓软件的行当,不能不说是一种莫大的讽刺。

0x01 分析


闲话少叙,接下来深入扒一扒kbasesrv究竟是怎样偷偷篡改主页的:

程序MD5:318330C02C334D9B51F3C88027C4787C

程序SHA1:A6253F2C2DE7FB970562A54ED4EC0513BE350C66

该程序由金山旗下软件静默下载安装到电脑里,并用特定参数启动。参数形式如下:

-tid1:30 -tid2:10 -tod1:24 -tod2:27 -xxlock:68_upd3

其中前面的tid1、tid2、tod1、tod2这4个参数固定不变。最后一个xxlock参数会根据推送软件的不同而有所不同,根据网上搜集相关情况和实测验证,目前发现的推广参数统计结果如下:

-xxlock参数值 对应发起推广的软件
68_upd 金山词霸
68_upd2 PPT美化大师
68_upd3 WPS
88dg_upd 驱动精灵

给参数后,软件全程静默安装并篡改首页(无参数情况下启动也是静默安装,但不篡改首页)。仅仅是在桌面上释放一个名为“网址导航”的快捷方式。

而这是快捷方式对应的程序目录(目录内所有可执行程序均带有有效的金山公司数字签名,这里就不一一贴出了):

当然,必须要承认该软件还是非常“守规矩”地在系统的“添加/删除程序”面板中放置了对应的卸载项的(至于用户能不能猜到是这个kbasesrv,他们可能就不是特别关心了)。

双击打开桌面的快捷方式,会启动IE浏览器并访问“毒霸网址大全”:

至此,如果仅仅是释放一个快捷方式,推广一下自己的导航站,或许还情有可原,但事情并不这么简单。该程序还在系统的桌面进程(explorer.exe)中注入了自己的三个dll文件用以劫持桌面操作——尤其是劫持用户双击运行程序的操作。

其中最下面的“knb3rdhmpg.dll”文件(MD5:5A2CCE5BF78C8D0D8C7F9254376A2C46; SHA1: F1EDBCA2065B0B951344987B59F33387804F32BA)中更是大大方方的直接硬编

码了待推广的网址:

同时也列出了大量需要“特别对待”的程序:

为了验证效果,特意在测试机器中安装了几个比较有代表性的浏览器。可以看到所有快捷方式后面都是没有任何启动参数的,也就是说在干净的环境里双击启动这些浏览器,他们都会打开默认的主页:

但是在双击运行这些浏览器的时候,打开的主页却都变成了“毒霸网址大全”

手法则很简单,因为已经注入了桌面进程,所以只需要在用户双击启动浏览器的时候,悄悄的在桌面进程向对应浏览器主程序发送启动消息的时候插入一条参数就万事大吉了:

0x02 结语


所谓能力越大,责任越大。安全软件作为系统的守护神,名正言顺地拥有系统的高权限,也背负着众多用户的信任。金山却偷偷动用旗下多款软件静默安装流氓软件,而很多用户还蒙在鼓里,不知道该怎么设置回自己习惯的主页。

若要人不知,除非己莫为。我就想问问金山,无论kbasesrv强奸了多少主页,为金山增加了多少收入,与丢掉的那些用户信任相比,真的值得吗?

评论

路人甲 2016-04-29 14:54:39

真的很无耻了。求个推荐

路人甲 2016-04-29 15:03:52

装一个WPS,送一个全家桶?

路人甲 2016-04-29 15:13:34

你这分析的太简单了。

路人甲 2016-04-29 15:43:47

那个姓傅的,在360的时候数字流氓,现在去了金山了,独霸也开始流氓了,真小人一个

路人甲 2016-04-29 16:11:49

金山安全产品已经边缘化了,锁主页,呵呵

路人甲 2016-04-29 16:11:49

金山安全产品已经边缘化了,锁主页,呵呵

路人甲 2016-04-29 16:11:49

金山安全产品已经边缘化了,锁主页,呵呵

路人甲 2016-04-29 16:37:18

正常,前两天路由器灯狂闪,管理器一看毒霸每秒500kb跑数据,即不升级软件又不升级病毒库,这么跑数据正常吗?

路人甲 2016-04-29 18:15:24

金山就是干这事的

路人甲 2016-04-30 06:42:33

打倒金山!!

路人甲 2016-04-30 09:12:30

万能的博主,怎么改回来。。主页被毒霸篡改了

路人甲 2016-05-01 18:47:57

我的是被词霸丢了一个“爱淘宝”的快捷方式在桌面上。 没有犹豫, 卸载!

Mark 2016-05-03 16:51:04

我就喜欢我能看的懂的,ps 求样本

E

Erised 2016-05-05 13:39:23

流氓太多..

人马座实验室

逆向分析、rootkit爱好者+学习者。小伙伴们的宗旨是好好学习、天天向上!

twitter weibo github wechat

随机分类

硬件与物联网 文章:40 篇
网络协议 文章:18 篇
IoT安全 文章:29 篇
iOS安全 文章:36 篇
木马与病毒 文章:125 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录