我真的服了,我不知道哪兒來的這個流氓。打不開,然後會經常彈出一些廣告和遊戲,也都是空白的嚴重影響我的電腦體驗(尤其是打遊戲)。並且卸載不了,卸載的時候也會彈出一個空白界面。

近日我們收到大量用戶反饋,一款名為「巧壓」的壓縮軟體卸載後還會「復活」——重新安裝到用戶電腦中。火絨工程師分析後發現,在用戶執行卸載操作時,「巧壓」會將惡意模塊駐留在用戶電腦中,並可以通過惡意代碼從雲控伺服器下載執行任意可執行文件。用戶大量反饋的「復活」現象,不排除是通過該雲控邏輯實現。根據「火絨威脅情報系統」監測和評估,目前受到「巧壓」影響的用戶或在百萬級左右。

「巧壓」除了卸載不掉以外,還會產生大量彈窗廣告,嚴重幹擾用戶日常電腦的使用。目前火絨為用戶提供以下兩種解決方法:

1、徹底卸載

用戶通過「控制面板」卸載「巧壓」後,使用「火絨安全軟體」進行全盤掃描,即可徹底卸載該軟體。

2、保留壓縮功能

用戶直接使用「火絨安全軟體」進行全盤掃描,即可徹底刪除惡意模塊以及彈窗廣告模塊,只保留壓縮功能。

關於「巧壓」是如何駐留用戶電腦的,請見我們的詳細分析報告。

附:【分析報告】

一、 背景

近期,火絨接到大量用戶反饋稱壓縮軟體巧壓,在軟體被卸載後會「復活」重新裝回用戶電腦,隨後我們針對巧壓的相關流氓行為進行了詳細分析。該流氓軟體在卸載後,服務項和Shell擴展項依然會駐留在用戶電腦中。上述駐留項被調用後,最終會調用駐留在用戶電腦中的QiaoZipSvcHost.exe下載執行遠端伺服器下發的可執行程序。雖然在報告發出時,我們未獲取到有效的「復活」相關遠端配置數據,但我們不排除眾多網友所遇到的巧壓「復活」的情況與相關邏輯有關的可能性。巧壓軟體卸載後的部分駐留模塊,如下圖所示:

巧壓軟體卸載後的部分駐留模塊

巧壓軟體卸載後駐留的Shell擴展項載入情況,如下圖所示:

駐留的Shell擴展項載入情況

巧壓軟體卸載後駐留的服務項載入情況,如下圖所示:

駐留的服務項載入情況

除此之外,該軟體在使用過程中還會產生較多的廣告彈窗,嚴重影響了用戶對個人電腦的正常使用。該流氓軟體產生的廣告彈窗,如下圖所示:

廣告彈窗

廣告彈窗

二、 詳細分析

啟動方式

QiaoZipSvcHost.exe可由「QiaoZipSvcHost.dll」和「QiaoZipRMExtern.dll」模塊調用啟動,啟動流程大致相同,默認啟動間隔均為30分鐘。該流氓軟體執行流程,如下圖所示:

流氓軟體執行流程

QiaoZipSvcHost.dll啟動QiaoZipSvcHost.exe

後臺駐留的服務由QiaoZipMd5Tool.exe模塊註冊。Install.exe安裝包程序執行後會解出QiaoZipMd5Tool.exe和用於服務執行的QiaoZipSvcHost.dll文件。QiaoZipMd5Tool.exe直接啟動時為帶有界面的Hash校驗工具,但也可以通過添加命令行參數的方式將QiaoZipSvcHost.dll靜默註冊為服務。相關程序運行信息如下圖所示:

程序運行信息

駐留的服務會在SeviceMain中創建線程,間隔固定時間(默認為30分鐘,也可通過註冊表項HKCUSoftwareQiaoZipSvcHostQiaoZipSvcHost鍵值retainPI設定分鐘數)啟動模塊QiaoZipSvcHost.exe , 參數為 -startby=1。 QiaoZipSvcHost.exe的路徑從註冊表中HKCUSoftwareQiaoZipSvcHostQiaoZipSvcHost鍵值uishP獲得。相關代碼如下圖所示:

ServiceMain中創建線程用於啟動模塊

每隔固定時間啟動

創建進程啟動

註冊表

QiaoZipRMExtern.dll啟動QiaoZipSvcHost.exe

QiaoZipMd5Tool.exe會將QiaoZipRMExtern.dll註冊為圖標處理程序組件(ShellIconOverlayIdentifiers),當explorer.exe處理文件圖標時,便會將其載入起來。相關註冊表項如下圖所示:

註冊表相關信息

駐留的QiaoZipRMExtern.dll模塊,會對自己當前所在進程是否是explorer.exe進行判斷,如果是,則通過註冊表鍵「eysTime」來查詢程序上次運行時間戳,相關代碼如下圖所示:

查詢當前所在進程並獲取上次運行時間戳

註冊表相關鍵值信息

當獲取上次運行時間戳成功後,會與當前系統時間進行運算比較。如果上次運行時間距離當前系統時間大於30分鐘,則程序繼續向下運行,否則繼續等待。相關代碼如下圖所示:

程序上次運行時間與當前系統時間進行運算比較

當滿足上述時間差條件後,程序會通過註冊表鍵「uishP」獲取QiaoZipSvcHost.exe的所在路徑。獲取成功之後,則會拼接運行參數「-startby=2」來執行QiaoZipSvcHost.exe。最後,獲取當前時間並更新註冊表「eysTime」的鍵值,相關代碼如下圖示:

通過註冊表鍵「uishP」獲取QiaoZipSvcHost.exe所在路徑

註冊表相關鍵值信息

啟動QiaoZipSvcHost.exe並更新「eysTime」鍵值

QiaoZipSvcHost.exe下載器

QiaoZipSvcHost.exe被調用後會將本地系統信息上傳到CC伺服器,請求地址如:hxxps://http://g.qiaoya.xsfaya.com/?r=/v2/api/config/wheelcategory=0manager=1os=5parent=1qid=1softid=17uninstalled=1vd=8version=1.0.0.0x64=1,請求會上傳用戶的系統版本、軟體卸載狀態、軟體版本等信息。伺服器在接到請求後,會反饋下載相關配置數據。請求相關代碼,如下圖所示:

請求鏈接構造

請求遠程配置

伺服器下發的配置數據為json格式,現階段我們截獲到的配置數據已經沒有相關的下載配置,但是我們不排除將來相關配置放開下發可執行模塊的可能性。但是伺服器依然可以訪問,現階段我們請求到的配置,如下圖所示:

現階段我們截獲到的配置數據

在伺服器配置放開下發的情況下,QiaoZipSvcHost.exe會根據下載配置中的鏈接地址下載指定模塊到本地執行,相關代碼如下圖所示:

下載遠端文件

執行從遠端下載到的可執行文件,相關代碼如下圖所示:

執行從遠端下載的可執行文件

三、 附錄

樣本hash

Qiaozip流氓軟體卸載教程

事情起因:今天下午QQ圖標一陣抖動一位高中女同學向我需求幫助

第一種 如果有U盤PE系統直接進區刪掉文件夾進系統後山註冊表

第二種 如果會用Windows安全模式也跟第一種類似以上兩種基本為萬能辦法第三種 以上都沒有也不會且著急卸載的直接跳到第四步就可以刪除了 前面幾步只是我的推導怎麼刪除流氓軟體的過程可以跳過

過程復現

第一步 查看是否能卸載

  1. 通過描述知道不能卸載
  2. 重啟後也是一樣

第二步 查看是否是開機自啟動

  1. 禁用可疑的啟動項目,優先沒有數字簽名的啟動項

2.通過描述發現可疑開機啟動項無法禁用

第三步 進入文件夾更改許可權後重啟刪除

  1. 刪除所有有關文件許可權

  1. 添加自己的許可權

  1. (重啟後)打開powershell進行刪除

del C:Users25876AppDataLocalQiaoZip
del+空格+軟體所在路徑

  1. 發現報錯證明程序還是自啟動運行中無法刪除

第四步 關閉windows窗體進程

猜想

改變許可權後同樣可以運行

是否是前臺因為有佔用windows窗體程序導致?
  1. 打開任務管理器,依次打開 性能-&>打開資源監視器在關聯的句柄裏輸入explorer.exe.在下邊框中選中結束進程。這個時候桌面式全部沒有了的,不用擔心。

  1. 在任務管理器中點擊 文件-&>新運行任務,輸入powershell並確定

3.輸入刪除文件夾代碼

del C:Users25876AppDataLocalQiaoZip
del+空格+軟體所在路徑

輸入yes後發現可以刪除不報錯

重啟後發現文件夾消失

如果重啟沒有恢復桌面 點擊任務管理器中的文件 – 運行新任務,輸入 explorer.exe

第五步 清理剩餘垃圾

  1. 重啟後打開註冊表regedit 刪除qiaozip相關項目

  1. 打開win+s 搜索qiaozip是否存在

最後 發現流氓軟體已經完美刪除

來來來 ,各位看官看過來,這個問題今天我也遇到了,但是完美並且輕鬆滴解決了

現在我來教大家

之所以我能輕鬆解決這個問題得益於我剛好有一個工具,前段時間裝系統遺留下來的啟動u盤

步驟聽好了啊:

1.關機,插啟動u盤,按開機鍵,設置u盤啟動,進入u盤系統,進入本機系統C盤,找到QiaoZip的文件夾路徑,刪掉QiaoZip文件夾內的所有文件,但保留QiaoZip空文件夾,然後關機

路徑參考:C:UsersAdministratorAppDataRoamingQiaoZip

放心,此過程不會有任何系統提示 報錯 拒絕之類的問題

2.按開機鍵,設置本機系統c盤啟動,進入正常桌面,按win+r,鍵入regedit進入註冊表,打開HKEY-CURRENT-USER下的software,刪掉下面的2個Qiao開頭的文件夾

別急,還沒完

3.找到第1步裡面的空文件夾QiaoZip,右鍵屬性-安全-高級-許可權,將所有用戶和組的許可權全部改為拒絕,應用並確定

打完收工

最後我還要嗶嗶一句,針對這類流氓軟體,妄想用常規的卸載 文件粉碎軟體來應對結果只能是徒勞

這是我寫的一個批處理,一鍵卸載巧壓,算是清理得比較乾淨且不會複發,分享給大家,下載後,右鍵管理員身份運行就可以了

順便說下批處理內的步驟說明,下載後可右鍵查看

1、停止qiaoya服務,2、結束qiaozip進程,3、刪除qiaoya服務,3、刪除local和roaming兩個文件夾下的3個QiaoZip文件夾,4、刪除所有Qiaozip和Qiaoya服務相關註冊表。

下載地址 lanzous.com/i9ppc2d

經曆數小時的嘗試,終於刪除。。。。。。 現將我的歷程總結如下,希望能對大家有所幫助:

1.進入C盤,查找qiaozip,將搜索出來的文件:全選,刪除。此步操作中會跳出若干個不能刪除的文件,暫時跳過。

2.經過上步操作,還殘留幾個頑固餘孽,打開註冊表編輯器(win+r,regedit),點擊編輯,查找,輸入qiaoya進行查找,將能刪除的都刪除掉,打開HKEY_CLASSES_ROOT下的Qy開頭的文件夾,刪除!經過此番操作,C盤還是殘留幾個文件。。。冷靜。。。繼續

3.第三步的操作我是參考這位答主的

如何卸載流氓軟體巧壓??

www.zhihu.com圖標

大家可以試一下!主要刪除不掉的兩個dll文件,就是通過這種方法刪除的。因為我是在不斷嘗試的過程中,慢慢刪除的,不太清楚直接使用這種辦法能不能全部刪除,應該是可以的。

具體原理不太清楚,感覺是流氓軟體通過創建了everyone的用戶許可權導致刪除不了。所以我們要先把所有的許可權刪除了,自己重新創建一個新的自己的許可權。而且流氓軟體有後臺進程,表現為桌面佔用,所以要先禁止explorer.exe, 關閉所有桌面佔用,再通過powershell命令行進行刪除。

4.最後,再啟用explorer.exe,恢復桌面,查看C盤,頑固文件被刪除。

看知乎回答都是近期的,應該是剛開始作妖,如果沒有成功,不要急,請靜待大神出現。

end

推薦閱讀:
相關文章