暗云木马感染数据免费查询地址(4)

　　四、木马的盈利推广部分(inst.exe、update.exe)行为

　　概述：

　　木马的最终目的只有一个——盈利，而inst.exe和update.exe，这连个落地的PE文件，则是真正能够使作者获得丰厚收益的模块，也是木马开始执行真正恶意的行为。

　　Inst.exe运行后首先在桌面上释放一个名为“美女视频聊天”的快捷方式，该快捷方式指向一个http://haomm.com，并带了一个推广id，实现推广网站盈利。Inst.exe还会释放XnfBase.dll、thpro32.dll两个dll到%appdata%目录下，并通过注册服务的方式加载这两个dll。

　　XnfBase.dll实现的功能是LSP劫持，当用户使用浏览器浏览www.hao123.com、www.baidu.com等网站的时候在其网址尾部添加推广ID，从而实现获利。thpro32.dll实现的功能是：不断地删除系统中指定提供者的LSP，防止其他木马或安全软件通过LSP再次修改推广ID。

　　Update.exe运行后会创建两个svchost.exe傀儡进程，并将解密出的功能模块分别注入到两个进程中，一个负责向安卓手机安装推广app、另一个实现向含有“私服”等关键词的QQ群上传共享文件，用来推广私服游戏获利。

　　木马通过各种推广来实现盈利

　　代码细节：

　　1、当用户用浏览器访问www.baidu.com等网站时，为其添加推广id，实现推广获利

　　2、在桌面上创建的美女视频聊天快捷方式，推广haomm.com这个网站

　　3、不断检测是否有LSP模块，有则删除，保护自己的推广ID不被修改

　　4、向指定名称的QQ群上传私服游戏，进行私服游戏的推广