主题 : [转贴]百度.com的恶意ie插件病毒
级别: 模拟专家
UID: 20
精华: 0
发帖: 691
威望: 0 星
金钱: 2453 浮游币
贡献值: 0 点
好评度: 6 点
人气: 0 点
在线时间: 9(时)
注册时间: 2004-03-24
最后登录: 2018-09-27
楼主  发表于: 2004-06-06 14:20

[转贴]百度.com的恶意ie插件病毒

百度.com的恶意ie插件病毒

百度.com的恶意ie插件病毒,用baidu.com的朋友们小心我一直不知道,直到今天看到这篇文章,然后查一下系统和注册表,果然是这样子。我以前还一直纳闷,为什么防火墙报告rundll32.exe这个系统进程老是试图连接网络。

baidu.com这个公司后台很硬,上次把google.com的dns换成baidu.com就是这个公司幕后指使的。说不定你浏览网站的时候,你的重要信息已经被baidu.com收集了。大家一定要小心。

另外,就算你不浏览baidu.com也没用。很多国内网站给baidu.com打广告,会自动给你装上这个恶意插件。防不胜防。唯一办法就是按这篇文章所说的方法做,彻底清除,一劳永逸。

“百度插件病毒”深度分析,一个比3721还恶心的东西。
来源:安全焦点
主题:百度插件病毒”深度分析

最近发现在浏览一些网站时,会不知不觉的被安装上一个来自百度公司名为“IE搜索伴侣”的IE插件。
这个插件极为怪异,有时的签名是baidu.com,有时的签名是Gaoling Interactive Information Technology Corporation limited,不仅偷偷摸摸还极为霸道,3721一类的IE插件还几天弹一次,百度的这个插件却每分每秒无时不刻的在疯狂弹出,让人防不胜防。

百度插件开机自动运行“BIE”进程,拖慢上网速度,使系统运行极不稳定,在有的杀毒软件论坛里用户在声讨这个插件,很多网友发现百度插件安装后不经用户许可就删除用户硬盘数据和注册表项,致使一些软件无法正常运行,更可怕的是百度这个叫“BIE”的后台程序######运行,在系统配置程序里删不掉,其对应的注册表项删除后又自动恢复,与病毒的特征完全一样。在金山毒霸的论坛里还有用户反应百度插件与中国游戏中心在线客户端、影音卫士等软件冲突,关机时经常会致使IE出错。

通过分析这个软件的源码可以看出,这是个一个写得很粗糙的Windows应用程序
#include “windows.h“
#include “winbase.h“
void main()
{
char buf[MAX_PATH];
::ZeroMemory(buf, MAX_PATH);
::GetWindowsDirectory(buf, MAX_PATH);
char filename[MAX_PATH];
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, “\\Downloaded Program Files\\BDPlugin.dll“;
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, “\\Downloaded Program Files\\BDHelper.dll“;
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, “\\Downloaded Program Files\\BDSrHook.dll“;
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, “\\Downloaded Program Files\\BDEx.dll“;
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
}

但这个百度IE插件用正常的卸载方法根本不能完全卸载,下面给大家介绍完全卸载这个插件的详细方法。
由于这个百度IE插件是使用Rundll32.exe调用连接库的,系统无法终止Rundll32.exe进程,所以我们必须先重新启动计算机,按 F8 进入安全模式(F8 只能按一次)之后,单击 开始 -〉 运行 regedit打开注册表,进入:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除键:BIE 其键值为:Rundll32 C:\WINNT\DOWNLO~1\BDPlugin.dll,Rundll32(如果是win98,这里的 C:\WINNT\DOWNLO~1\ 为 C:\WINDOWS\DOWNLO~1\)
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet
Explorer\AdvancedOptions\ACCESSIBILITY
删除键:BDSEARCH,此键在 Internet 选项 -〉 高级 中加入了百度IE搜索伴侣的选项。
HKEY_CLASSES_ROOT
删除键:BDHlprObj.BDHlprObj
删除键:BDHlprObj.BDHlprObj.1
删除键:BDHook.BDSrchHook
删除键:BDHook.BDSrchHook.1
删除键:BDHook.URLBDHook
删除键:BDHook.URLBDHook.1
删除键:BDPlugins.Interceptor
删除键:BDPlugins.Interceptor.1
HKEY_CLASSES_ROOT\CLSID
删除键:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
删除键:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_CLASSES_ROOT\TypeLib
删除键:{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\Software\CLASSES\CLSID
删除键:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
删除键:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
HKEY_LOCAL_MACHINE\Software\CLASSES\TypeLib
删除键:{CE7C3CE2-4B15-11D1-ABED-709549C10000}
HKEY_LOCAL_MACHINE\Software\Microsoft\Code Store Database\Distribution Units
删除键:{BC207F7D-3E63-4ACA-99B5-FB5F8428200C}
删除键:{CA92B524-BC8A-4610-BD2C-6BD3E28155D0}
删除完注册表中的项之后,还需要删除存储在硬盘中IE搜索伴侣的文件。
删除如下文件:C:\WINNT\DOWNLO~1 目录下(98下为 C:\WINDOWS\DOWNLO~1\ 下同)
BDEX.DLL 24576 12-25-02 11:43
BDPLUGIN.DLL 49152 12-25-02 11:44
BDSRHOOK.DLL 32768 12-25-02 11:45
BDHELPER.DLL 36864 12-25-02 11:52
BDSEARCH.INF 1507 12-28-02 9:48
以上文件全部删除,这样百度IE插件就基本上从你的计算机中全部清除了。最后,重新启动计算机,进入正常模式就不再有百度插件的侵害了。

下面是完全禁止百度插件的方法:
完全删除百度插件之后,用Windows自带的记事本打开hosts文件(hosts文件是Windows里面自带的将主机名称映射到 IP 地址的一个文本格式的文件,hosts表位置,Win9x系列在C:\Windows,NT、win2000平台在\winnt\system32\drivers\etc,Winxp平台在\windows\system32\drivers\etc,如果找不到就查找一下hosts)

加入以下字符(IP和域名之间用一个空格间隔开):

127.0.0.1 bar.baidu.com
127.0.0.1 http://www.baidu.com
127.0.0.1 baidu.com

保存的文件名为hosts(注意不要加任何扩展名),怎么样?再也看不到百度插件的对话框了吧?同理,用Hosts文件还可以对付网页中的广告。现在很多大型网站,都有专门存放广告的主机,查看网页的源代码,就可以知道广告文件存放在哪台主机上,然后用Hosts文件解析这台主机的IP,就可以把这些广告拒之门外了。 这个方法不足的地方就是无法访问百度网站,不过我们都使用Google(www.google.com),百度网站也没有访问的价值。

另外如果有用NetCaptor、MYIE、QQ浏览器等多页面浏览器的网友也可以把:
http://www.baidu.com 202.108.250.228
bar.baidu.com 202.108.250.204
这些添加到黑名单,
把C段封杀
202.108.250.*
---------------------------
附件附上Hosts:
# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#‘ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
127.0.0.1 bar.baidu.com #百度IE插件
127.0.0.1 http://www.baidu.com #百度IE插件
127.0.0.1 baidu.com #百度IE插件
级别: 模拟之星
UID: 1243
精华: 0
发帖: 1057
威望: 0 星
金钱: 830 浮游币
贡献值: 10 点
好评度: 7 点
人气: 0 点
在线时间: 13(时)
注册时间: 2004-04-01
最后登录: 2024-08-06
沙发  发表于: 2004-06-06 21:02

怎么跟3721那个很像

http://dev.csdn.net/Develop/article//28/28219.shtm

这里附上它的源代码,通过代码可以看出这不是木马。不过程序写的很烂……

#include "windows.h"
#include "winbase.h"

void main()
{
char buf[MAX_PATH];
::ZeroMemory(buf, MAX_PATH);
::GetWindowsDirectory(buf, MAX_PATH);
char filename[MAX_PATH];
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\CnsMinIO.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\CnsMin.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
::ZeroMemory(filename, MAX_PATH);
strcpy(filename, buf);
strcat(filename, "\\Downloaded Program Files\\cnsio.dll");
::MoveFileEx(filename, NULL, MOVEFILE_DELAY_UNTIL_REBOOT);
}