日期:2014-05-17  浏览次数:20701 次

淘客IE劫持技术研究分析
样本作用:访问www.taobao.com 自动跳转到www.baidu.com
研究目的:研究程序功能原理。
该样本运行后点开始测试行为如下:(动手能力强的可以自己分析研究下,如有遗漏请指出)打开文件 C:\WINDOWS\system32\SHELL32.dll
打开文件 C:\WINDOWS\system32\shdocvw.dll
创建鼠标钩子: WH_MOUSE
创建键盘钩子: WH_KEYBOARD
访问远程文件: w w w。j d t bk。com/tbk/tbpid.txt
打开文件 C:\WINDOWS\system32\stdole2.tlb
读取远程文件: w w w。j d t bk。com/tbk/tbpid.txt
访问远程文件: w w w。j d t bk。com/tbk/tz.txt
读取远程文件: w w w。j d t bk。com/tbk/tz.txt
访问Windows Socket Interface 接口

但是我还是没明白这个程序是如何实现检测并URL跳转的,根据主动防御监测,点开始后会启动C:\Program Files\Internet Explorer\IEXPLORE.EXE 但不显示窗口,用途不明。(如果阻止启动IEXPLORE.EXE程序依旧正常并能跳转。)

哪位高手分析分析,看看这个跳转到底是如何实现的。


------解决方案--------------------
轻轻的我来了,带着袋子装分来了