2016年4月16日 星期六

[WMI] 解決瀏覽器遭HAO123、2345修改首頁問題

由於安裝Xbox one手把時把WIN7升到WIN10又降回7,一時手賤去下載了一些垃圾....
當時就有發現首頁被改的情況,想說這種好解決,一堆狂人福利軟體王都有現成工具可以解
解開後由於PSO2不時無聲or錯誤關閉又搞的焦頭爛額,前天才發現奇怪怎麼首頁又被改了


除了上圖的AdwCleaner以外我也用了UltraAdwareKiller跟Junkware Removal Tool
都是一樣清完就正常,但是隔天大約是晚上8點左右電腦用一半又被改成HAO123
像是啟動跟系統服務檢查都正常,工作排程器說工作影像毀損或遭竄改,不管他裡面東西全刪 XD
雖然我這裡沒有裝常駐型防毒/防火,但使用F-SecureOnlineScanner線上掃毒也沒有發現異常
所以今天又學到新東西:Windows Management Instrumentation (WMI)

老實說上面WMI我也只瞭解一個大概,是個可以接受Script與API自動運作、從XP以後都內建的系統管理模組
wikipedia沒有中文記事,很不想說,但百毒百讀百科有提到可以利用通信阜直接植入vbscript...
目前通信阜的部分微軟大多已經修補過了,那種網路上找的到中文的入侵方法是沒有用的 XD
但另外就有找到,現在這種首頁綁架的手法早就已經進步到利用程式植入後執行vbscript了

簡單一點總結工作排程器(Task Scheduler) 能自動執行的是程式檔、WMI能自動執行程式碼
在MIS來說我絕對是菜到不行,早知道上班地方被資訊室給上了一堆鎖的電腦就拿來研究實驗練功力


好了閒話休說,先下載 WMI Administrative Tools 安裝,以管理員權限執行WMI Event Viewer
如上圖,點左上鋼筆圖示


出現Connect to namespace,點選右邊電腦圖示


這裡點選Connect後會出現下面視窗,Username跟Password不用管他,下圖按OK


回到先前畫面,Machine Name便會出現自己的機器名稱,然後在Starting Namespace填入root
這樣就可以叫出root樹狀結構,打開以後尋找CIMV2點選後按下面OK


發現有ActiveScript,點選右上角圖示View instance properties可以查看內容


在ScriptText可以看到被綁去什麼地方,確定是這裡在搞鬼後離開

回到這裡就可以點選中間X圖示Delete instance,刪除掉這個Event
除了圖上的Filiters以外,通常Consumers與Timers底下也會有,通通清掉
萬一還是沒好,則root底下所有項目都需檢查過,看看有沒有ScriptText被植入


完成後再用AdwCleaner就可以把系統清乾淨了,最上圖可以看出,AdwCleaner沒有清理到WMI這一塊
WMI這一塊不清理的原因,我猜大概就是上面所提到的,許多機關公司的MIS使用這個來執行一些特定工作
為什麼不用工作排程器,則是因為工作排程器比較容易被使用者亂搞或刪除
而且vbscript比傳統batch多了許多網路方面的支援
而理論上來說,如果你的電腦是自己的沒有MIS管
但是WMI裡面卻出現ScriptText,那九成九都是惡意軟體甚至病毒搞的
一般應用程式來說,開機執行或是排程工具就很夠用了,不會去用到WMI這一塊

微軟當初為什麼要挖這個洞我不是很瞭解,但是WIN7又開了一個新的洞 - PowerShell
我猜這應該會是下一個惡意工具軟體的明日之星吧 XD

最後要提一下,不管是Firefox或是Chrome,如果看到這種安全性提示的軟體網站,大多就是這種植入型的

當初下載回來的程式我有先扔到 VirusTotal 檢查過,只有少數幾個防毒說有問題
依據以往經驗大多數的KEYGEN由於都是用同一種封裝,所以就算沒毒TrendMicro的產品也會當作有毒殺掉
而且一殺掉就保證救不回來,沒錯我就是在說各公家院校愛用的OfficeScan,這程式是個廢材
但經過這次,如果再看到「已回報為不安全的軟體網頁」,我會慎重考慮一下了。



更新:原先我是使用AdwCleaner 5(最上圖可以看到版本號是5.11)
   目前AdwCleaner 6以後的版本增加的WMI部分的清理功能
   像HAO123這麼老牌著名的傢伙應該是一定解的了,要省事的話可以直接使用看看
   是說HAO123也搞了好幾年,WMI的存在更早,之前被綁的很多人結論都是「只有重灌才會好」
   甚至有人說「安裝360安全衛士來解」....以毒攻毒啊? XD
   然而5我用了解不了才寫了這篇,寫了這篇幾個月後的6就加進去這個功能....是巧合嗎