V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
meander1314
V2EX  ›  问与答

看看你中招没,金山流氓插件 kbasesrv 强奸主页分析

  •  
  •   meander1314 · 2016-04-30 10:52:30 +08:00 · 66231 次点击
    这是一个创建于 3135 天前的主题,其中的信息可能已经有所发展或是发生改变。
    #转自乌云知识库#
    话说最近浏览器首页莫名其妙变成了金山毒霸网址大全,本来以为是运营商劫持,但仔细排查一遍,才发现是一个名叫 kbasesrv 的程序在搞鬼,它的数字签名是“ Beijing Kingsoft Security software Co.,Ltd ”,确定是金山旗下的软件无疑。
    主页劫持本来已经见怪不怪了,一般是推广联盟的渠道商为了赚钱而各种手段无所不用其极,但是像金山这样的名门大厂亲自动手偷偷摸摸篡改主页的,还真是比较少见。
    闲话少叙,接下来深入扒一扒 kbasesrv 究竟是怎样偷偷篡改主页的:
    程序 MD5 : 318330C02C334D9B51F3C88027C4787C
    程序 SHA1 : A6253F2C2DE7FB970562A54ED4EC0513BE350C66
    该程序由金山旗下软件静默下载安装到电脑里,并用特定参数启动。参数形式如下:
    -tid1:30 -tid2:10 -tod1:24 -tod2:27 -xxlock:68_upd3
    其中前面的 tid1 、 tid2 、 tod1 、 tod2 这 4 个参数固定不变。最后一个 xxlock 参数会根据推送软件的不同而有所不同,根据网上搜集相关情况和实测验证,目前发现的推广参数统计结果如下:
    -xxlock 参数值 对应发起推广的软件
    68_upd 金山词霸
    68_upd2 PPT 美化大师
    68_upd3 WPS
    88dg_upd 驱动精灵
    给参数后,软件全程静默安装并篡改首页(无参数情况下启动也是静默安装,但不篡改首页)。仅仅是在桌面上释放一个名为“网址导航”的快捷方式.

    而这是快捷方式对应的程序目录(目录内所有可执行程序均带有有效的金山公司数字签名,这里就不一一贴出了):
    当然,必须要承认该软件还是非常“守规矩”地在系统的“添加 /删除程序”面板中放置了对应的卸载项的(至于用户能不能猜到是这个 kbasesrv ,他们可能就不是特别关心了)

    双击打开桌面的快捷方式,会启动 IE 浏览器并访问“毒霸网址大全”

    至此,如果仅仅是释放一个快捷方式,推广一下自己的导航站,或许还情有可原,但事情并不这么简单。该程序还在系统的桌面进程( explorer.exe )中注入了自己的三个 dll 文件用以劫持桌面操作——尤其是劫持用户双击运行程序的操作.

    其中最下面的“ knb3rdhmpg.dll ”文件( MD5:5A2CCE5BF78C8D0D8C7F9254376A2C46; SHA1: F1EDBCA2065B0B951344987B59F33387804F32BA )中更是大大方方的直接硬编码了待推广的网址:

    同时也列出了大量需要“特别对待”的程序:

    为了验证效果,特意在测试机器中安装了几个比较有代表性的浏览器。可以看到所有快捷方式后面都是没有任何启动参数的,也就是说在干净的环境里双击启动这些浏览器,他们都会打开默认的主页

    但是在双击运行这些浏览器的时候,打开的主页却都变成了“毒霸网址大全”

    手法则很简单,因为已经注入了桌面进程,所以只需要在用户双击启动浏览器的时候,悄悄的在桌面进程向对应浏览器主程序发送启动消息的时候插入一条参数就万事大吉了:

    所谓能力越大,责任越大。安全软件作为系统的守护神,名正言顺地拥有系统的高权限,也背负着众多用户的信任。金山却偷偷动用旗下多款软件静默安装流氓软件,而很多用户还蒙在鼓里,不知道该怎么设置回自己习惯的主页。
    若要人不知,除非己莫为。我就想问问金山,无论 kbasesrv 糟蹋了多少主页,为金山增加了多少收入,与丢掉的那些用户信任相比,真的值得吗?
    4 条回复    2018-11-01 14:40:59 +08:00
    XhstormR
        1
    XhstormR  
       2016-04-30 11:35:49 +08:00 via Android
    国产?
    呵呵!
    regist
        2
    regist  
       2016-04-30 11:49:23 +08:00
    雷军系的,拒绝使用,不论软件硬件,又不是硬需求。
    雷军系的所有东东都贴上了雷军这个流氓的标签,跟阿里系差不多。

    声明;没有 1000 万,如有同名,纯属巧合。
    cfans1993
        3
    cfans1993  
       2016-05-01 00:00:24 +08:00 via Android
    佩服楼主刨根问底的态度,这两天我也遇到 chrome 和 ie 被无限添加启动参数

    给合楼主的分析,后来我萌生了一个想法:很多软件有这样一种行为,扫描系统安装的软件,如果有刚刚安装的软件,判断软件名字是否在某个列表中,如果是就下发一个流氓模块或挖矿模块到客户端执行,用于掩饰或嫁祸
    zuoshoufantexi
        4
    zuoshoufantexi  
       2018-11-01 14:40:59 +08:00
    请问楼主这个要怎么删掉,删不掉呀……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4561 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 05:35 · PVG 13:35 · LAX 21:35 · JFK 00:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.