價值4000萬的過濾軟體,綠壩分析報告
開場白就免了,直接進入正題。
這價值4000萬的神秘軟體究竟是個什麼樣,讓我們看看。
軟體版本為3.17
綠壩採用打包式安裝程序,安裝程序的EXE文件被執行之後,會在temp目錄下隨機生成臨時文件夾,釋放安裝文件。
- Show quoted text -
然後調用該目錄下setup.exe開始安裝。
綠壩安裝在system32目錄下,安裝共寫入包括windows、system32、inf、drivrs等系統關鍵目錄在內的12個目錄110個文件,文件列表如下:
,1,system32RunAfterSetup.exe,9,0,32
,2,system32sys.dat,9,0,32
,3,system32poppo.dll,1,0,32
,4,system32sysEx.dat,1,0,32
,5,system32appface.dll,1,0,32
,6,system32xabout.dat,1,0,32
,7,system32x100.dat,1,0,32
,8,system32x200.dat,1,0,32
,9,system32x300.dat,1,0,32
,10,system32x400.dat,1,0,32
,11,system32xnet2_lang.ini,9,0,32
,12,system32bnrfil.dat,1,0,32
,13,system32bsnlst.dat,1,0,32
,14,system32csnews.dat,1,0,32
,15,system32gdwfil.dat,1,0,32
,16,system32TrustUrl.dat,1,0,32
,17,system32wfileu.dat,1,0,32
,18,system32xwordh.dat,1,0,32
,19,system32xwordl.dat,1,0,32
,20,system32xwordm.dat,1,0,32
,21,system32auctfil.dat,1,0,32
,22,system32chtfil.dat,1,0,32
,23,system32cultfil.dat,1,0,32
,24,system32entfil.dat,1,0,32
,25,system32finfil.dat,1,0,32
,26,system32fmfil.dat,1,0,32
,27,system32fshrfil.dat,1,0,32
,28,system32gblfil.dat,1,0,32
,29,system32gnfil.dat,1,0,32
,30,system32hatfil.dat,1,0,32
,31,system32iawfil.dat,1,0,32
,32,system32imgfil.dat,1,0,32
,33,system32jbfil.dat,1,0,32
,34,system32lgwfil.dat,1,0,32
,35,system32movfil.dat,1,0,32
,36,system32mp3fil.dat,1,0,32
,37,system32nvgamfil.dat,1,0,32
,38,system32perfil.dat,1,0,32
,39,system32picsfil.dat,1,0,32
,40,system32pkmon.dat,1,0,32
,41,system32popfil.dat,1,0,32
,42,system32psyfil.dat,1,0,32
,43,system32sporfil.dat,1,0,32
,44,system32swfil.dat,1,0,32
,45,system32tafil.dat,1,0,32
,46,system32tapfil.dat,1,0,32
,47,system32vgamfil.dat,1,0,32
,48,system32viofil.dat,1,0,32
,49,system32wrestfil.dat,1,0,32
,50,system32wzfil.dat,1,0,32
,51,system32adwfil.dat,1,0,32
,52,system321.urf,1,0,32
,53,system322.urf,1,0,32
,54,system323.urf,1,0,32
,55,system324.urf,1,0,32
,56,system325.urf,1,0,32
,57,system326.urf,9,0,32
,58,system327.urf,9,0,32
,59,system32goldlock.exe,9,0,32
,60,system32filtport.dat,9,0,32
,61,system32x100.jpg,9,0,32
,62,system32x200.jpg,9,0,32
,63,system32x300.jpg,9,0,32
,64,system32x400.jpg,9,0,32
,65,system32x500.jpg,9,0,32
,66,system32win2kspi.reg,9,0,32
,67,system32winxpSpi.reg,9,0,32
,68,system32Win98Spi.reg,9,0,32
,69,system32adwapp.dat,9,0,32
,70,system32XFimage.xml,9,0,32
,71,system32FImage.dll,9,0,32
,72,system32Xtool.dll,9,0,32
,73,system32Xcv.dll,9,0,32
,74,system32xcore.dll,9,0,32
,75,system32x600.jpg,9,0,32
,76,system32wfile.dat,9,0,32
,77,system32winvista.reg,9,0,32
,78,system32IPGate.dll,9,0,32
,79,system32gn.exe,29,0,32
,80,system32looklog.exe,29,0,32
,81,system32lookpic.exe,29,0,32
,82,system32xconfigs.dat,29,0,32
,83,system32XNet2.exe,29,0,32
,84,system32XDaemon.exe,29,0,32
,85,system32kwdata.exe,29,0,32
,86,system32Update.exe,29,0,32
,87,windowslogdesktop.ini,1,0,32
,87,windowssnapdesktop.ini,1,0,32
,88,windowshelpkw.chm,17,0,32
,89,windowsHNCLIBFalunWord.lib,29,0,32
,90,windowsimage.dat,9,0,32
,91,windowsimage1.dat,1,0,32
,92,windowsCardLib.dll,9,0,32
,93,windowscximage.dll,9,0,32
,94,windowsdbfilter.dll,9,0,32
,95,windowsSurfgd.dll,29,0,32
,96,windowsdbServ.dll,29,0,32
,97,windowsCImage.dll,29,0,32
,98,windowsHandler.dll,29,0,32
,99,windowsHASrv.dll,29,0,32
,100,windowsHncEng.exe,29,0,32
,101,windowsHncEngPS.dll,29,0,32
,102,windowsInjLib32.dll,29,0,32
,103,windowsMPSvcDll.dll,29,0,32
,104,windowsMPSvcPS.dll,29,0,32
,105,windowsSentenceObj.dll,29,0,32
,106,windowsMPSvcC.exe,29,0,32
,107,windowsvnew.bmp,29,0,32
,108,windowsxstring.s2g,29,0,32
,109,windowskwselectinfopp.dll,5,0,32
,110,windowskwimage.dll,29,0,32
安裝結束時在註冊表 HKLMSOFTWAREMicrosoft 下寫入 xnet2鍵值。並運行 system32xnet2.exe 由該程序負責自啟動項和服務等的添加工作。
接下來我們再看看綠壩在作用狀態下都做了什麼。
安裝綠壩之後將會有四個進程和一個驅動被調入內存。
system32XDaemon.exe守護進程,與Xnet2.exe實現交叉保護
system32XNet2.exe綠壩的主程序,運行后將會啟用兩個線程分別監聽udp 1234和1204埠:
windowsHncEng.exe
服務進程
windowsMPSvcC.exe
看著很像微點吧,但是這是假象,其實它也是綠壩的服務進程。
Driversmgtaki.sys
安裝完成後被寫入的驅動文件,目的不明。
軟體卸載時也不會被移除。
綠壩運行過程中會定時向http://www.zzjinhui.com/softpatch/ |
狗仔卡
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
搶沙發
樓主
