查看: 10269|回复: 9
【原创】2016年新型浏览器劫持病毒——“百变导航”病毒！
本帖最后由 羊羔助手 于
18:32 编辑
　　近日，互联网上又掀起了一阵新型的浏览器劫持事件。同其它劫持浏览器的病毒一样，该病毒也会恶意篡改中毒电脑的浏览器首页。但是与其它同类病毒不同的是，该病毒并不是在IE属性中篡改浏览器主页，而是当受害者打开浏览器时直接重启进程将浏览器首页跳转至病毒预设的导航网站，且导航网站多变不固定。由于该病毒是驱动级兼注入型病毒，所以杀毒软件查不到任何危险程序以及可疑启动项目。
病毒名称：“百变导航”病毒；
病毒类型：恶意推广程序；
危害等级：★★★
危害平台：Windows 系统；
首发日期：2016年4月；
病毒传播：
　　“百变导航”病毒主要通过“病毒下载器”或“网站挂马”进行传播，对长期未更新杀毒软件的电脑感染几率更大。该病毒入侵受害者计算机后，首先会在“C:\WINDOWS\system32”目录下创建一个名为“MsslnthalEs.dll”的病毒动态链接库，并在注册表中为其创建随机启动的隐藏服务项。然后会在“C:\WINDOWS\AppPatch”目录下创建一个以“Ke”开头后序文件名为6位随机数字组成的“.xsl”文件，并在注册表中为其设置数值数据。最后会在“C:\WINDOWS\system32\drivers”目录下创建一个名为“dump_slnthal.sys”的驱动程序，并在注册表中为其创建随机启动的隐藏服务项。
1.PNG (0 Bytes, 下载次数: 5)
00:28 上传
病毒分析：
　　“MsslnthalEs.dll”是“百变导航”病毒的主程序，主要功能用于劫持受害者浏览器主页，并拥有自我修复功能。以“Ke”开头后序6位随机数字命名的样式表文件其实是“百变导航”的病毒安装包数据库，不过该病毒的真正安装资源是以二进制代码储存在注册表中的。“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Secure”的分支下包含了该病毒的所有数据资源，如果将子项“Secure”全部导出为“.reg”文件，则导出后的注册表脚本文件大小为“8.70 MB”！当中毒电脑启动后，“MsslnthalEs.dll”就会读取该注册表中的数值数据对病毒二进制代码进行解析，然后将解析成功后的数据以“Ke”开头后序6位随机数字的命名方式保存在“C:\WINDOWS\AppPatch”目录下，最后对其解压重装病毒。因此，该目录下以“Ke”开头的样式表文件在每次随机启动后都会被重新命名和重新创建。由于该文件和“MsslnthalEs.dll”是相互作用的，所以如果该文件丢失，“百变导航”病毒也将无法修复自身。“dump_slnthal.sys”是“百变导航”病毒的驱动级自我保护程序，主要功能用于隐藏自身程序和加密自身程序。而且“dump_slnthal.sys”是一个持有数字证书的病毒驱动程序，导致众多杀毒软件监测到其非法行为后也会对其放行通过，可见“百变导航”病毒在隐身和防补丁以及免杀方面下了很大功夫。本次病毒驱动程序“dump_slnthal.sys”使用的是“西安信利软件科技有限公司”的数字证书。
2.png (0 Bytes, 下载次数: 1)
00:29 上传
病毒行为：
　　“MsslnthalEs.dll”随“svchost.exe”启动后会在“C:\WINDOWS\AppPatch”目录下创建一个名为“AcRamIe.sdb”的空间数据库文件，然后复写该文件中的数据向系统进程“explorer.exe”注入病毒代码，之后会在“C:\WINDOWS\AppPatch”目录下创建一个名为“Custom”的病毒文件夹，最后卸载自身模块。病毒文件夹“Custom”是“百变导航”病毒的数据库，其目录下的所有文件均为病毒劫持浏览器主页的配置文件。如果该文件夹丢失，病毒劫持受害者浏览器后将无法跳转至指定域名。“dump_slnthal.sys”随系统内核运行后会隐藏自身文件和病毒主体程序“MsslnthalEs.dll”，并为其进程加密，使一般杀毒软件无法读取其内存数据。“dump_slnthal.sys”的监视范围是全盘位置，如果其它目录下出现与两者同名的文件和文件夹也会被“dump_slnthal.sys”隐藏和加密。被注入病毒代码后的系统进程“explorer.exe”理所当然就成了“百变导航”病毒的傀儡进程，从而导致其自身功能也受到了一些影响。比如在中毒过程中经常会伴随着出现一些桌面自动刷新、程序自动运行、文件夹自动打开、文件夹自动关闭、按键时自动弹出删除文件和文件夹提示等一系列的界面操作异常化问题，就好像感觉被抓肉鸡一样（如果电脑中缺失“explorer.exe”，“百变导航”病毒劫持浏览器主页的能力也会丧失）。随后，包含病毒代码的“explorer.exe”便会时时刻刻监视受害者访问网络的情况。如果监测到受害者打开任何一款浏览器，病毒代码就会控制“explorer.exe”强行关闭当前浏览器窗口，然后读取“C:\WINDOWS\AppPatch\Custom”目录下的病毒配置文件，并启动系统默认浏览器将域名连接到“”，最后再由该域名跳转至病毒服务器预设的导航网站。由于劫持受害者浏览器的导航网站是跟随病毒服务器的域名设置变化而变化的，所以这个域名可能会成为任何一个导航网站的转接站。因此，该域名受到病毒服务器的随时设置和调动，也就造成了劫持受害者浏览器的导航网站也各不一样。到目前为止，被病毒域名转接过的导航网站有“360导航”、“hao123导航”、“MSN123导航”、“2345网址导航”等等……故而该病毒称之为“百变导航”病毒。目前（2016年5月）该病毒域名指向的流氓导航网站是“”。
3.png (0 Bytes, 下载次数: 1)
00:29 上传
病毒清理：
　　由于在内存中被注入病毒代码的“explorer.exe”并没有被插入病毒模块，所以在“任务管理器”中结束“explorer.exe”后再重启该进程即可恢复浏览器的正常使用（此步可免）。
1：重启电脑按“F8”键进入“安全模式”。
2：删除如下病毒程序。
C:\WINDOWS\AppPatch\Custom
C:\WINDOWS\AppPatch\AcRamIe.sdb
C:\WINDOWS\AppPatch\Ke******.xsl
C:\WINDOWS\system32\MsslnthalEs.dll
C:\WINDOWS\system32\drivers\dump_slnthal.sys
3：删除如下病毒注册表项值。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Secure
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSSLNTHALES
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MsslnthalEs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSSLNTHALES
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MsslnthalEs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSSLNTHALES
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MsslnthalEs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DUMP_SLNTHAL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\dump_slnthal
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DUMP_SLNTHAL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dump_slnthal
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DUMP_SLNTHAL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dump_slnthal
　　“百变导航”病毒的变种比较多，感染受害者电脑后释放的病毒程序可能会多种多样，但这类病毒的危害程度和解决方案大致都是一样的。本文只是解析了一个变种的破坏行为和查杀方法，如果遇到其它变种建议使用杀毒软件更新最新病毒库后再进行查杀！
4.png (0 Bytes, 下载次数: 0)
00:36 上传
计算机反病毒专家 —— 羊羔助手（Lamb Assistant）
技术分析应该赞
　　近期“2345”流氓导航劫持浏览器主页比较严重，可能就是这个病毒所致。如果您来此帖仅仅是求助的，直接参考文中的“病毒清理”就行了。
样本有么？
终于找到了楼主的帖子，解决了我的问题，困扰我将近一个月了。杀毒软件、各种卫士都无效。网上介绍的方法也没用。
为了感谢楼主，我专门注册了用户，连续登录三天（否则没有回帖权限）回帖感谢。
大智若愚UFO
感谢LZ方法，这类注入方法没有前车之鉴根本解决不来
终于找到了楼主的帖子，解决了我的问题，困扰我将近一个月了。杀毒软件、各种卫士都无效。网上介绍的方法也 ...
谢谢，我就是喜欢分析与破解各类奇难杂症，以后多关注我就行。
我上次排查出了dump_slnthal.sys，但一直清不掉，原来它会自我修复，为了推广真是煞费苦心啊
这个必须得支持，现在的各网络公司越来越没有节操了，为了推广无所不用其极
请问楼主有没有样本，或者其他中招的朋友能不能提供一份样本
本人纯小白一只
前段时间我的电脑出现了浏览器被2345劫持主页的现象，刚开始我以为是简单地浏览器劫持现象，尝试了各种方法都不能解决。后来在网上看到了LZ的帖子，发现自己也是中了“百变导航病毒”，（但是我的和楼主的有所不同）。于是又用了百度上介绍的几款杀毒软件，可是还是没办法解决问题，于是决定用楼主的方法手动杀毒。
1.png (0 Bytes, 下载次数: 0)
7&天前 上传
首先找到了和楼主帖子里很像的MsClasspnpEs.dll和Ke*******.xsl。
但是在电脑的正确位置中看不到这两个文件。
2.png (0 Bytes, 下载次数: 0)
7&天前 上传
后来又用一个论坛里的软件查看到了三个和楼主帖子里像的三个文件dump_diskdump.sys、dump_iaStorA.sys、dump_dumpfve.sys。同样在电脑的正确位置中看不懂这两个文件。
Custom文件我能够看到，注册表中却只能找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Secure，其他的都无法找到。
我认为是被病毒自身隐藏起来了。
虽然有很多地方无法找到，但是我还是进入安全模式开始把我能找到的几个给删除了。首先我删掉了Custom文件夹，然后用dos命令把看不到的MsClasspnpEs.dll和Ke******.xsl删除掉了，可是我利用dos删除三个dump_文件的时候显示找不到文件。最后又把注册表Secure中除了默认那一栏的其他东西都给删了。
然后重启，浏览器没有被劫持了，后来关机再启动，又被劫持了。
于是我又尝试着网上一些网友的方法，在原来位置新建一个与病毒同名的文件夹，可还是没有办法解决，任然是被劫持的状态。
希望楼主和各位大大能够给我一些解决的建议，我现在很想知道怎么才能看到隐藏自身的病毒文件和注册表，看不到他们我不知道怎样才能够删除掉他们啊。
Copyright & KaFan & All Rights Reserved.
Powered by Discuz! X3.1( 苏ICP备号 ) GMT+8,电脑有病毒，但是怎么查杀都杀不完_百度知道如何预防百变导航木马进入电脑呢？_百度知道电脑中了邮件中的木马病毒怎么彻底查杀病毒呢？_百度知道