價值4000萬的過濾軟件,綠垻分析報告
阿波羅新聞網 來稿首發
文 / 神牆
開場白就免了,直接進入正題。
這價值4000萬的神秘軟件究竟是個什麼樣,讓我們看看。
軟件版本為3.17
- Show quoted text -
然後調用該目錄下setup.exe開始安裝。
綠垻安裝在system32目錄下,安裝共寫入包括windows、system32、inf、drivrs等系統關鍵目錄在內的12個目錄110個文件,文件列表如下:
,1,system32RunAfterSetup.exe,9,0,32
,2,system32sys.dat,9,0,32
,3,system32poppo.dll,1,0,32
,4,system32sysEx.dat,1,0,32
,5,system32appface.dll,1,0,32
,6,system32xabout.dat,1,0,32
,7,system32x100.dat,1,0,32
,8,system32x200.dat,1,0,32
,9,system32x300.dat,1,0,32
,10,system32x400.dat,1,0,32
,11,system32xnet2_lang.ini,9,0,32
,12,system32bnrfil.dat,1,0,32
,13,system32bsnlst.dat,1,0,32
,14,system32csnews.dat,1,0,32
,15,system32gdwfil.dat,1,0,32
,16,system32TrustUrl.dat,1,0,32
,17,system32wfileu.dat,1,0,32
,18,system32xwordh.dat,1,0,32
,19,system32xwordl.dat,1,0,32
,20,system32xwordm.dat,1,0,32
,21,system32auctfil.dat,1,0,32
,22,system32chtfil.dat,1,0,32
,23,system32cultfil.dat,1,0,32
,24,system32entfil.dat,1,0,32
,25,system32finfil.dat,1,0,32
,26,system32fmfil.dat,1,0,32
,27,system32fshrfil.dat,1,0,32
,28,system32gblfil.dat,1,0,32
,29,system32gnfil.dat,1,0,32
,30,system32hatfil.dat,1,0,32
,31,system32iawfil.dat,1,0,32
,32,system32imgfil.dat,1,0,32
,33,system32jbfil.dat,1,0,32
,34,system32lgwfil.dat,1,0,32
,35,system32movfil.dat,1,0,32
,36,system32mp3fil.dat,1,0,32
,37,system32nvgamfil.dat,1,0,32
,38,system32perfil.dat,1,0,32
,39,system32picsfil.dat,1,0,32
,40,system32pkmon.dat,1,0,32
,41,system32popfil.dat,1,0,32
,42,system32psyfil.dat,1,0,32
,43,system32sporfil.dat,1,0,32
,44,system32swfil.dat,1,0,32
,45,system32tafil.dat,1,0,32
,46,system32tapfil.dat,1,0,32
,47,system32vgamfil.dat,1,0,32
,48,system32viofil.dat,1,0,32
,49,system32wrestfil.dat,1,0,32
,50,system32wzfil.dat,1,0,32
,51,system32adwfil.dat,1,0,32
,52,system321.urf,1,0,32
,53,system322.urf,1,0,32
,54,system323.urf,1,0,32
,55,system324.urf,1,0,32
,56,system325.urf,1,0,32
,57,system326.urf,9,0,32
,58,system327.urf,9,0,32
,59,system32goldlock.exe,9,0,32
,60,system32filtport.dat,9,0,32
,61,system32x100.jpg,9,0,32
,62,system32x200.jpg,9,0,32
,63,system32x300.jpg,9,0,32
,64,system32x400.jpg,9,0,32
,65,system32x500.jpg,9,0,32
,66,system32win2kspi.reg,9,0,32
,67,system32winxpSpi.reg,9,0,32
,68,system32Win98Spi.reg,9,0,32
,69,system32adwapp.dat,9,0,32
,70,system32XFimage.xml,9,0,32
,71,system32FImage.dll,9,0,32
,72,system32Xtool.dll,9,0,32
,73,system32Xcv.dll,9,0,32
,74,system32xcore.dll,9,0,32
,75,system32x600.jpg,9,0,32
,76,system32wfile.dat,9,0,32
,77,system32winvista.reg,9,0,32
,78,system32IPGate.dll,9,0,32
,79,system32gn.exe,29,0,32
,80,system32looklog.exe,29,0,32
,81,system32lookpic.exe,29,0,32
,82,system32xconfigs.dat,29,0,32
,83,system32XNet2.exe,29,0,32
,84,system32XDaemon.exe,29,0,32
,85,system32kwdata.exe,29,0,32
,86,system32Update.exe,29,0,32
,87,windowslogdesktop.ini,1,0,32
,87,windowssnapdesktop.ini,1,0,32
,88,windowshelpkw.chm,17,0,32
,89,windowsHNCLIBFalunWord.lib,29,0,32
,90,windowsimage.dat,9,0,32
,91,windowsimage1.dat,1,0,32
,92,windowsCardLib.dll,9,0,32
,93,windowscximage.dll,9,0,32
,94,windowsdbfilter.dll,9,0,32
,95,windowsSurfgd.dll,29,0,32
,96,windowsdbServ.dll,29,0,32
,97,windowsCImage.dll,29,0,32
,98,windowsHandler.dll,29,0,32
,99,windowsHASrv.dll,29,0,32
,100,windowsHncEng.exe,29,0,32
,101,windowsHncEngPS.dll,29,0,32
,102,windowsInjLib32.dll,29,0,32
,103,windowsMPSvcDll.dll,29,0,32
,104,windowsMPSvcPS.dll,29,0,32
,105,windowsSentenceObj.dll,29,0,32
,106,windowsMPSvcC.exe,29,0,32
,107,windowsvnew.bmp,29,0,32
,108,windowsxstring.s2g,29,0,32
,109,windowskwselectinfopp.dll,5,0,32
,110,windowskwimage.dll,29,0,32
安裝結束時在註冊表 HKLMSOFTWAREMicrosoft 下寫入 xnet2鍵值。並運行 system32xnet2.exe 由該程序負責自啟動項和服務等的添加工作。
接下來我們再看看綠垻在作用狀態下都做了什麼。
安裝綠垻之後將會有四個進程和一個驅動被調入內存。
system32XDaemon.exe守護進程,與Xnet2.exe實現交叉保護
綠垻安裝在system32目錄下,
,1,system32RunAfterSetup.exe,
,2,system32sys.dat,9,0,32
,3,system32poppo.dll,1,0,32
,4,system32sysEx.dat,1,0,32
,5,system32appface.dll,1,0,32
,6,system32xabout.dat,1,0,32
,7,system32x100.dat,1,0,32
,8,system32x200.dat,1,0,32
,9,system32x300.dat,1,0,32
,10,system32x400.dat,1,0,32
,11,system32xnet2_lang.ini,9,
,12,system32bnrfil.dat,1,0,32
,13,system32bsnlst.dat,1,0,32
,14,system32csnews.dat,1,0,32
,15,system32gdwfil.dat,1,0,32
,16,system32TrustUrl.dat,1,0,
,17,system32wfileu.dat,1,0,32
,18,system32xwordh.dat,1,0,32
,19,system32xwordl.dat,1,0,32
,20,system32xwordm.dat,1,0,32
,21,system32auctfil.dat,1,0,
,22,system32chtfil.dat,1,0,32
,23,system32cultfil.dat,1,0,
,24,system32entfil.dat,1,0,32
,25,system32finfil.dat,1,0,32
,26,system32fmfil.dat,1,0,32
,27,system32fshrfil.dat,1,0,
,28,system32gblfil.dat,1,0,32
,29,system32gnfil.dat,1,0,32
,30,system32hatfil.dat,1,0,32
,31,system32iawfil.dat,1,0,32
,32,system32imgfil.dat,1,0,32
,33,system32jbfil.dat,1,0,32
,34,system32lgwfil.dat,1,0,32
,35,system32movfil.dat,1,0,32
,36,system32mp3fil.dat,1,0,32
,37,system32nvgamfil.dat,1,0,
,38,system32perfil.dat,1,0,32
,39,system32picsfil.dat,1,0,
,40,system32pkmon.dat,1,0,32
,41,system32popfil.dat,1,0,32
,42,system32psyfil.dat,1,0,32
,43,system32sporfil.dat,1,0,
,44,system32swfil.dat,1,0,32
,45,system32tafil.dat,1,0,32
,46,system32tapfil.dat,1,0,32
,47,system32vgamfil.dat,1,0,
,48,system32viofil.dat,1,0,32
,49,system32wrestfil.dat,1,0,
,50,system32wzfil.dat,1,0,32
,51,system32adwfil.dat,1,0,32
,52,system321.urf,1,0,32
,53,system322.urf,1,0,32
,54,system323.urf,1,0,32
,55,system324.urf,1,0,32
,56,system325.urf,1,0,32
,57,system326.urf,9,0,32
,58,system327.urf,9,0,32
,59,system32goldlock.exe,9,0,
,60,system32filtport.dat,9,0,
,61,system32x100.jpg,9,0,32
,62,system32x200.jpg,9,0,32
,63,system32x300.jpg,9,0,32
,64,system32x400.jpg,9,0,32
,65,system32x500.jpg,9,0,32
,66,system32win2kspi.reg,9,0,
,67,system32winxpSpi.reg,9,0,
,68,system32Win98Spi.reg,9,0,
,69,system32adwapp.dat,9,0,32
,70,system32XFimage.xml,9,0,
,71,system32FImage.dll,9,0,32
,72,system32Xtool.dll,9,0,32
,73,system32Xcv.dll,9,0,32
,74,system32xcore.dll,9,0,32
,75,system32x600.jpg,9,0,32
,76,system32wfile.dat,9,0,32
,77,system32winvista.reg,9,0,
,78,system32IPGate.dll,9,0,32
,79,system32gn.exe,29,0,32
,80,system32looklog.exe,29,0,
,81,system32lookpic.exe,29,0,
,82,system32xconfigs.dat,29,
,83,system32XNet2.exe,29,0,32
,84,system32XDaemon.exe,29,0,
,85,system32kwdata.exe,29,0,
,86,system32Update.exe,29,0,
,87,windowslogdesktop.ini,1,
,87,windowssnapdesktop.ini,
,88,windowshelpkw.chm,17,0,
,89,windowsHNCLIBFalunWord.
,90,windowsimage.dat,9,0,32
,91,windowsimage1.dat,1,0,32
,92,windowsCardLib.dll,9,0,32
,93,windowscximage.dll,9,0,32
,94,windowsdbfilter.dll,9,0,
,95,windowsSurfgd.dll,29,0,32
,96,windowsdbServ.dll,29,0,32
,97,windowsCImage.dll,29,0,32
,98,windowsHandler.dll,29,0,
,99,windowsHASrv.dll,29,0,32
,100,windowsHncEng.exe,29,0,
,101,windowsHncEngPS.dll,29,
,102,windowsInjLib32.dll,29,
,103,windowsMPSvcDll.dll,29,
,104,windowsMPSvcPS.dll,29,0,
,105,windowsSentenceObj.dll,
,106,windowsMPSvcC.exe,29,0,
,107,windowsvnew.bmp,29,0,32
,108,windowsxstring.s2g,29,0,
,109,windowskwselectinfopp.
,110,windowskwimage.dll,29,0,
安裝結束時在註冊表 HKLMSOFTWAREMicrosoft 下寫入 xnet2鍵值。並運行 system32xnet2.exe 由該程序負責自啟動項和服務等的添加工作。
接下來我們再看看綠垻在作用狀態下都做了什麼。
安裝綠垻之後將會有四個進程和一個驅動被調入內存。
system32XDaemon.exe守護進程,
windowsHncEng.exe
服務進程
windowsMPSvcC.exe
看着很像微點吧,但是這是假象,其實它也是綠垻的服務進程。
Driversmgtaki.sys
安裝完成後被寫入的驅動文件,目的不明。
軟件卸載時也不會被移除。
綠垻運行過程中會定時向http://www.服務進程
windowsMPSvcC.exe
看着很像微點吧,但是這是假象,其實它也是綠垻的服務進程。
Driversmgtaki.sys
安裝完成後被寫入的驅動文件,目的不明。
軟件卸載時也不會被移除。
大家都知道綠垻在運行過程中會記錄網站的訪問和每隔三分鐘對系統
更可疑的是,在xnet2.exe的語言文件xnet2_
- Show quoted text -
AOption0_1117=發現不良網站自動向金惠公司報告。
而且從網上高手對其進行逆向工程,而得來的數據來看,該軟件並不像它自己說宣稱的那樣,只是對web訪問進行監控,其進行監控的軟件包括卻不僅僅限於以下幾十種:
wow.exe
yahoomessenger.exe
wangwang.exe
start.exe
uc.exe
icq.exe
skype.exe
eph.exe
sgr.exe
qqgame.exe
qqchat.exe
qq.exe
bitbomet.exe
editplus.exe
uedit32.exe
emeditor.exe
wordpad.exe
notepad.exe
wps.exe
wpp.exe
et.exe
powerpnt.exe
frontpg.exe
excel.exe
msaccess.exe
outlook.exe
winword.exe
mailmagic.exe
popo.exe
qqmail.exe
aixmail.exe
imapp.exe
incmail.exe
msimn.exe
dm2005.exe
foxmail.exe
googletalk.exe
miranda32.exe
imu.exe
ypager.exe
tmshell.exe
start.exe
uc.exe
icqchatrobot.exe
qq.exe
msnmsgr.exe
gsfbwsr.exe
greenbrowser.exe
touchnet.exe
theworld.exe
maxthon.exe
ttraveler.exe
netscp.exe
ge.exe
firefox.exe
opera.exe
netcaptor.exe
myie.exe
iexplore.exe
mmc.exe
regedit.exe
taskmgr.exe
mpsvcc.exe
xdaemon.exe
xnet2.exe
(以上信息來自SoFuc.Com所進行的逆向)
綠垻還對ie瀏覽器進程注入dll,以至於被360當成惡意插件報毒。
而且從網上高手對其進行逆向工程,而得來的數據來看,
wow.exe
yahoomessenger.exe
wangwang.exe
start.exe
uc.exe
icq.exe
skype.exe
eph.exe
sgr.exe
qqgame.exe
qqchat.exe
qq.exe
bitbomet.exe
editplus.exe
uedit32.exe
emeditor.exe
wordpad.exe
notepad.exe
wps.exe
wpp.exe
et.exe
powerpnt.exe
frontpg.exe
excel.exe
msaccess.exe
outlook.exe
winword.exe
mailmagic.exe
popo.exe
qqmail.exe
aixmail.exe
imapp.exe
incmail.exe
msimn.exe
dm2005.exe
foxmail.exe
googletalk.exe
miranda32.exe
imu.exe
ypager.exe
tmshell.exe
start.exe
uc.exe
icqchatrobot.exe
qq.exe
msnmsgr.exe
gsfbwsr.exe
greenbrowser.exe
touchnet.exe
theworld.exe
maxthon.exe
ttraveler.exe
netscp.exe
ge.exe
firefox.exe
opera.exe
netcaptor.exe
myie.exe
iexplore.exe
mmc.exe
regedit.exe
taskmgr.exe
mpsvcc.exe
xdaemon.exe
xnet2.exe
(以上信息來自SoFuc.Com所進行的逆向)
綠垻還對ie瀏覽器進程注入dll,
除此之外,該軟件還做了一些不能見光的手腳。
FreeGate/8567/tcp Urf/9666/tcp 這個文件的作用很明顯,屏蔽常見的代理軟件FreeGate。
內濾霸(綠垻),外神盾(GFW),雙劍合璧,天下無敵。
如此強悍的設計,
實際上並非如此。由於先天的技術缺陷和粗製濫造,
而在Vista下經常完美的被用戶賬戶控制幹掉,且十分不穩定。
即使在狀態最佳的XP下,也有讓人跌破眼鏡的表現。
那麼作為一款過濾軟件,自身保護能力應該很強吧?
這軟件的設計者是豬啊,4000多萬,
最後我們來試着通過綠垻所提供的卸載途徑卸載了它,
未經用戶同意強制安裝(強行預裝),
4000萬,
綠垻,不,應該說是濾霸,它只不過是一個由納稅人買單,
=========
請盡量幫忙轉往大陸網站,謝謝了...