“i搜影”这个应用应该说很多新手使用者都是十分熟悉的,那么今天对“i搜影”进行了分析,查看一下这个应用如何在我们的电脑里大脑天宫的
0x00:监控安装行为
我们直接上干货,看看“i搜影”安装的时候做了些什么
0x000:“i搜影”文件释放阶段
创建文件 C:\Users\Fantasy\AppData\Local\Temp\nsfC379.tmp
创建文件夹 C:\Users\Fantasy\AppData\Local\Temp\nsgC417.tmp
创建文件夹 C:\Users\Fantasy\AppData\Local\Temp\nsgC417.tmp
创建文件 C:\Users\Fantasy\AppData\Local\Temp\nsgC417.tmp\license.txt
创建文件 C:\Users\Fantasy\AppData\Local\Temp\nsgC417.tmp\skin.zip
创建文件 C:\Users\Fantasy\AppData\Local\Temp\nsgC417.tmp\logo.ico
创建文件 C:\Users\Fantasy\AppData\Local\Temp\nsgC417.tmp\nsNiuniuSkin.dll
创建文件 C:\Users\Fantasy\AppData\Local\Temp\nsgC417.tmp\System.dll
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\iTv
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\iTv\[@]SetupType
创建文件 C:\Users\Fantasy\AppData\Local\Temp\nsgC417.tmp\InstallPlug.dll
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\iTv\[@]PPName
创建文件 C:\Users\Fantasy\AppData\Local\Temp\nsgC417.tmp\BgWorker.dll
创建文件 C:\Users\Fantasy\AppData\Local\Temp\nsgC417.tmp\nsProcess.dll文件释放是常见的一种行为,这个软件释放手段和普通软件相同,没有什么出彩的地方
0x001:“i搜影”文件安装部署阶段
创建文件夹 C:\Program Files (x86)\iTv
创建文件 C:\Program Files (x86)\iTv\logo.ico
创建文件 C:\Program Files (x86)\iTv\app.7z
创建文件 C:\Users\Fantasy\AppData\Local\Temp\nsgC417.tmp\nsis7z.dll
创建文件夹 C:\Program Files (x86)\iTv\skin
创建文件夹 C:\Program Files (x86)\iTv\skin\App
创建文件 C:\Program Files (x86)\iTv\skin\App\TaskBarBtnXp.png
创建文件 C:\Program Files (x86)\iTv\skin\App\TaskBarBtn_X.png
创建文件 C:\Program Files (x86)\iTv\skin\App\TaskBarBtn_X10.png
创建文件 C:\Program Files (x86)\iTv\skin\App\TaskBarBtn_X10_Dpi.png
创建文件 C:\Program Files (x86)\iTv\skin\App\TaskBarBtn_Xsml.png
创建文件 C:\Program Files (x86)\iTv\skin\App\TaskBarBtn_Xsml10.png
创建文件 C:\Program Files (x86)\iTv\skin\App\TaskBarBtn_Y.png
创建文件 C:\Program Files (x86)\iTv\skin\App\TaskBarBtn_Y10.png
创建文件 C:\Program Files (x86)\iTv\skin\App\TaskBarBtn_Ysml.png
创建文件 C:\Program Files (x86)\iTv\skin\App\TaskBarBtn_Ysml10.png
创建文件 C:\Program Files (x86)\iTv\skin\Feedback.xml
创建文件 C:\Program Files (x86)\iTv\skin\FlushIconMenu.xml
创建文件 C:\Program Files (x86)\iTv\skin\iTvApp.xml
创建文件 C:\Program Files (x86)\iTv\skin\iTvAppMenu.xml
创建文件 C:\Program Files (x86)\iTv\skin\iTvFrameWnd.xml
创建文件 C:\Program Files (x86)\iTv\skin\iTvTaskBar.xml
创建文件 C:\Program Files (x86)\iTv\skin\MsgDlg.xml
创建文件 C:\Program Files (x86)\iTv\skin\Option.xml
创建文件 C:\Program Files (x86)\iTv\skin\SkinWnd.xml
创建文件 C:\Program Files (x86)\iTv\skin\SysOptMenu.xml
创建文件夹 C:\Program Files (x86)\iTv\skin\Theme
创建文件夹 C:\Program Files (x86)\iTv\skin\Theme\2000001
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000001\back_last_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000001\back_top_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000001\dlg_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000001\drop_item_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000001\drop_main_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000001\main_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000001\opt_border_hot.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000001\page_switch.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000001\skinopt_select.png
创建文件夹 C:\Program Files (x86)\iTv\skin\Theme\2000002
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000002\back_last_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000002\back_top_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000002\dlg_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000002\drop_item_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000002\drop_main_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000002\main_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000002\opt_border_hot.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000002\page_switch.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000002\skinopt_select.png
创建文件夹 C:\Program Files (x86)\iTv\skin\Theme\2000003
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000003\back_last_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000003\back_top_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000003\dlg_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000003\drop_item_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000003\drop_main_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000003\main_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000003\opt_border_hot.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000003\page_switch.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000003\skinopt_select.png
创建文件夹 C:\Program Files (x86)\iTv\skin\Theme\2000004
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000004\back_last_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000004\back_top_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000004\dlg_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000004\drop_item_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000004\drop_main_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000004\main_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000004\opt_border_hot.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000004\page_switch.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000004\skinopt_select.png
创建文件夹 C:\Program Files (x86)\iTv\skin\Theme\2000005
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000005\back_last_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000005\back_top_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000005\dlg_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000005\drop_item_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000005\drop_main_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000005\main_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000005\opt_border_hot.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000005\page_switch.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000005\skinopt_select.png
创建文件夹 C:\Program Files (x86)\iTv\skin\Theme\2000006
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000006\back_last_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000006\back_top_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000006\dlg_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000006\drop_item_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000006\drop_main_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000006\main_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000006\opt_border_hot.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000006\page_switch.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000006\skinopt_select.png
创建文件夹 C:\Program Files (x86)\iTv\skin\Theme\2000007
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000007\back_last_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000007\back_top_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000007\dlg_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000007\drop_item_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000007\drop_main_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000007\main_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000007\opt_border_hot.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000007\page_switch.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000007\skinopt_select.png
创建文件夹 C:\Program Files (x86)\iTv\skin\Theme\2000008
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000008\back_last_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000008\back_top_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000008\dlg_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000008\drop_item_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000008\drop_main_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000008\main_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000008\opt_border_hot.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000008\page_switch.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000008\skinopt_select.png
创建文件夹 C:\Program Files (x86)\iTv\skin\Theme\2000009
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000009\back_last_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000009\back_top_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000009\dlg_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000009\drop_item_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000009\drop_main_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000009\main_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000009\opt_border_hot.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000009\page_switch.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\2000009\skinopt_select.png
创建文件夹 C:\Program Files (x86)\iTv\skin\Theme\Default
创建文件 C:\Program Files (x86)\iTv\skin\Theme\Default\back_last_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\Default\back_top_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\Default\dlg_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\Default\drop_item_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\Default\drop_main_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\Default\main_wnd_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\Default\opt_border_hot.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\Default\page_switch.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\Default\skinopt_select.png
创建文件 C:\Program Files (x86)\iTv\skin\Theme\skin.json
创建文件夹 C:\Program Files (x86)\iTv\skin\TMark
创建文件 C:\Program Files (x86)\iTv\skin\TMark\Menu_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\TMark\Menu_hot.png
创建文件 C:\Program Files (x86)\iTv\skin\TMark\tmark.ico
创建文件 C:\Program Files (x86)\iTv\skin\TMark\TMark.xml
创建文件 C:\Program Files (x86)\iTv\skin\TMark\TMarkMenu.xml
创建文件 C:\Program Files (x86)\iTv\skin\TMark\tmark_i.ico
创建文件 C:\Program Files (x86)\iTv\skin\ToolTipWnd.xml
创建文件夹 C:\Program Files (x86)\iTv\skin\UI
创建文件 C:\Program Files (x86)\iTv\skin\UI\button.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\CheckBox.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\download.gif
创建文件 C:\Program Files (x86)\iTv\skin\UI\drop_item_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\loading.gif
创建文件 C:\Program Files (x86)\iTv\skin\UI\loading_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\logo.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\menu_btn_autostart.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\menu_btn_check_normal.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\menu_btn_check_select.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\menu_btn_contactus.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\menu_btn_quit.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\menu_btn_update.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\not_find_data.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\pageloading_gif.pz
创建文件 C:\Program Files (x86)\iTv\skin\UI\play_tv.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\ScrollBar.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\scroll_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\search_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\search_edit.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\slider_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\sys_btn_close.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\sys_btn_close1.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\sys_btn_history_Tmp.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\sys_btn_option.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\sys_btn_refresh.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\sys_btn_skin.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\textedt_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\tooltip.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\Tooltip_Bottom.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\Tooltip_Left.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\Tooltip_Right.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\Tooltip_Top.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\tran_bk.png
创建文件夹 C:\Program Files (x86)\iTv\skin\UI\TvClass
创建文件 C:\Program Files (x86)\iTv\skin\UI\TvClass\comic.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\TvClass\drama.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\TvClass\game.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\TvClass\hot.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\TvClass\micro.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\TvClass\movie.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\TvClass\variety.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\tv_item_bk.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\tv_item_bk_ddd.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\wnd_btn_feedback.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\wnd_btn_option.png
创建文件 C:\Program Files (x86)\iTv\skin\UI\wnd_btn_skin.png
创建文件夹 C:\Program Files (x86)\iTv\skin\UpdateRemind
创建文件 C:\Program Files (x86)\iTv\skin\UpdateRemind\bk.png
创建文件 C:\Program Files (x86)\iTv\skin\UpdateRemind\check_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\UpdateRemind\start_btn.png
创建文件 C:\Program Files (x86)\iTv\skin\UpdateRemind\UpdateRemind.xml
创建文件 C:\Program Files (x86)\iTv\iTvApp.exe
创建文件 C:\Program Files (x86)\iTv\iTvBase.dll
创建文件 C:\Program Files (x86)\iTv\iTvBrowser.exe
创建文件 C:\Program Files (x86)\iTv\iTvBugReport.exe
创建文件 C:\Program Files (x86)\iTv\iTvFrame.dll
创建文件 C:\Program Files (x86)\iTv\iTvShellExt.dll
创建文件 C:\Program Files (x86)\iTv\iTvShellExt64.dll
创建文件 C:\Program Files (x86)\iTv\iTvUpdate.exe
创建文件 C:\Program Files (x86)\iTv\sqlite3.dll
创建文件 C:\Program Files (x86)\iTv\TxUILib.dll
创建文件 C:\Program Files (x86)\iTv\TxUILib64.dll
创建文件 C:\Program Files (x86)\iTv\uninst.exe可以看出都是很普通的文件释放,手动清理可以依据上方完整列表进行手动删除
0x010:释放了配置文件
创建文件夹 C:\Users\Fantasy\AppData\Roaming\iTv
创建文件 C:\Users\Fantasy\AppData\Roaming\iTv\cfg.7z配置文件的位置,释放到了%userdata%\AppData\Roaming\iTv路径下,暂且不分析cfg.7z的内容,单纯看位置,一般人就找不到
0x011:创建了两个注册表执行进程
已创建进程 C:\Windows\SysWOW64\regsvr32.exe
已创建进程 C:\Windows\System32\regsvr32.exe创建regsvr32.exe是常见的注册表增添必要的调用行为
0x100:执行注册表添加
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ TvNoUser
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ TvNoUser\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Approved
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Approved\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\Programmable
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\InprocServer32
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\InprocServer32\[@]
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\InprocServer32\[@]ThreadingModel
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\TypeLib
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\TypeLib\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\Version
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\Version\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B7B232F4-627B-4C8B-AF3C-66B758220E38}
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B7B232F4-627B-4C8B-AF3C-66B758220E38}\1.0
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B7B232F4-627B-4C8B-AF3C-66B758220E38}\1.0\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B7B232F4-627B-4C8B-AF3C-66B758220E38}\1.0\FLAGS
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B7B232F4-627B-4C8B-AF3C-66B758220E38}\1.0\FLAGS\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B7B232F4-627B-4C8B-AF3C-66B758220E38}\1.0\0
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B7B232F4-627B-4C8B-AF3C-66B758220E38}\1.0\0\win64
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B7B232F4-627B-4C8B-AF3C-66B758220E38}\1.0\0\win64\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B7B232F4-627B-4C8B-AF3C-66B758220E38}\1.0\HELPDIR
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B7B232F4-627B-4C8B-AF3C-66B758220E38}\1.0\HELPDIR\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}\ProxyStubClsid32
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}\ProxyStubClsid32\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}\TypeLib
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}\TypeLib\[@]
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}\TypeLib\[@]Version
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}\ProxyStubClsid32
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}\ProxyStubClsid32\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}\TypeLib
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}\TypeLib\[@]
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\Interface\{BB4E693D-7B82-4005-9F87-56971CCE8D38}\TypeLib\[@]Version
已结束进程 C:\Windows\System32\regsvr32.exe
已结束进程 C:\Windows\SysWOW64\regsvr32.exe
已创建进程 C:\Windows\SysWOW64\regsvr32.exe
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ TvNoUser
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ TvNoUser\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Approved
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Approved\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\Programmable
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\InprocServer32
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\InprocServer32\[@]
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\InprocServer32\[@]ThreadingModel
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\TypeLib
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\TypeLib\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\Version
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WOW6432Node\CLSID\{19E0947A-0C57-4584-BA08-C1ECADD9E3FE}\Version\[@]
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B7B232F4-627B-4C8B-AF3C-66B758220E38}\1.0\0\win32
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B7B232F4-627B-4C8B-AF3C-66B758220E38}\1.0\0\win32\[@]
已结束进程 C:\Windows\SysWOW64\regsvr32.exe
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\iTv\[@]version
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\iTv\[@]guser_id手动斜眼笑~~通过注册表可见,深入骨髓的写入。。一个几M的小影音软件,野心不小
0x101:释放快捷方式
创建文件夹 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\i搜影
创建文件 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\i搜影\卸载i搜影.lnk
创建文件 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\i搜影\i搜影.lnk
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\iTv\[@]InstPath
创建注册表项 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iTv
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iTv\[@]DisplayName
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iTv\[@]UninstallString
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iTv\[@]DisplayIcon
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iTv\[@]Publisher
设置值 HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\iTv\[@]DisplayVersion
创建文件 C:\Users\Public\Desktop\i搜影.lnk
已创建进程 C:\Program Files (x86)\iTv\iTvApp.exe其实安装过程基本没太多猫腻,结束的时候,不管你是否同意,都会强制执行iTVApp.exe也就是"i搜影"本体
到这里,安装过程就执行完成,看起来也算是人畜无害,但是我们要继续看看那软件自动执行以后的关键操作
0x110:释放广告
设置值 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION\[@]iTvApp.exe
创建文件夹 C:\Users\Fantasy\AppData\Roaming\iTv\iTvMiniDump
创建文件夹 C:\Users\Fantasy\AppData\Roaming\iLnkIco
创建文件夹 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp
创建文件夹 C:\Users\Fantasy\AppData\Roaming\iTv\Temp
创建文件夹 C:\Users\Fantasy\AppData\Roaming\iTv\localconfig
创建文件夹 C:\Users\Fantasy\AppData\Roaming\iTv\log
创建文件夹 C:\Users\Fantasy\AppData\Roaming\iTv\update
创建文件 C:\Users\Fantasy\AppData\Roaming\iTv\localconfig\iTvShellExt.ini
创建文件 C:\Users\Fantasy\AppData\Roaming\iTv\localconfig\util.ini
创建文件 C:\Users\Fantasy\AppData\Roaming\iTv\localconfig\skin.ini
创建文件 C:\Users\Fantasy\AppData\Roaming\iTv\log\iTvLog.log
创建文件 C:\Users\Fantasy\AppData\Roaming\iTv\localconfig\tx.db
创建文件 C:\Users\Fantasy\AppData\Roaming\iTv\localconfig\tx.db-journal
创建文件 C:\Users\Fantasy\AppData\Roaming\iTv\localconfig\tx.db-journal
创建文件 C:\Users\Fantasy\AppData\Roaming\iTv\localconfig\tx.db-journal
创建文件 C:\Users\Fantasy\AppData\Roaming\iTv\localconfig\tx.db-journal
创建文件 C:\Users\Fantasy\AppData\Roaming\iTv\localconfig\tx.db-journal
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011601[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011601.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011606[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011606.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011605[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011605.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011604[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011604.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011603[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011603.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011602[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011602.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\jk6-28[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\jk6-28.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011607[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011607.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011608[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011608.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011609[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011609.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011610[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011610.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\jk6-15-1[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\jk6-15-1.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011611[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011611.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011613[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011613.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011617[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011617.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011616[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011616.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011615[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011615.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011614[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011614.jpg
创建文件 C:\Users\Fantasy\AppData\Local\Microsoft\Windows\INetCache\IE\TN4YW4LM\2020011612[1].jpg
创建文件 C:\Users\Fantasy\AppData\Local\Temp\iTvDlTemp\2020011612.jpg释放到%userdata%\Local\Microsoft\Windows\INetCache\IE\中的文件是十分难清理的,而且这个文件夹是常规无法访问的,文件夹随机生成,隐蔽性极强,也是目前大部分广告弹窗的主要聚集目录
0x01:重点分析
其实整个过程也不是很复杂,就是标准的安装→释放→释放配置→启动执行→释放广告,那么这个软件关键的位置在于最后释放广告的位置,路径如下
%userdata%\AppData\Local\Microsoft\Windows\INetCache\IE\这个路径,好奇的小伙伴可以研究一下,通过正常的手段,是没有访问权限的,那么我们只能使用管理员身份运行cmd,执行rd命令, 来进行中断移除
在卸载后,C盘的 C:\Program Files (x86)\iTv中会缺少Duilib.dll引用,终止提示后,会导致Explorer无限FC,可以通过以下两行命令解决
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\TvNoUser" /f
start explorer0x10:LVS快速通道
如过你是LVS服务计划会员,或您是付费用户,则可以使用下方提供工具来一键解决“i搜影”对您的困扰
本区域内容支付后可见
标题:[E-Labs]分析”i搜影”
价格:1 枚LegnaCoin
