根据隐形淘宝广告弹窗拓展杀毒思路

作者: 网友“羊羔助手”
　　近日，有不少网友反馈自家电脑右下角会不定时地弹出淘宝服装广告。无明显可疑进程，也无明显的可疑启动项，就连杀毒软件也查不出威胁。该淘宝服装广告的窗口名称是固定的，都是在名为“淘宝特卖-马上有新衣”的窗体中推广各种款式的服装。

　　既然该“广告木马”没有指定的运行进程，那么也就是说它是靠加载模块运行的。至于它是把自身模块加载到哪个进程中运行了，由于杀毒软件查不出来，所以我们也不得而知。不过有一点可以肯定的是，“广告木马”要在受害者的电脑上做各种各样广告，那肯定是要联网后才能弹出各种不同的广告窗体的。按照这个思路，我们可以退出/关闭一切联网软件后，再对进程中的那些联网程序进行排查。
提示：
　　联网软件例如《暴风影音》，《腾讯QQ》，《迅雷》等……
　　通过《360流量防火墙》的网络连接功能可以看到，在退出/关闭所有联网软件之后，“explorer.exe”仍然处于联网状态，它所连接的IP分别是“123.183.214.149”和“220.181.11.98”还有“115.28.253.227”。

　　在纯净的“Windows”系统中，“explorer.exe”是不会连接网络的。如果存在对外连接的情况，那就只有这两种可能了：一种为“explorer.exe”遭恶意篡改替换后被病毒木马伪装；二种为“explorer.exe”被嵌入了病毒木马的模块（DLL）。
　　经过对“explorer.exe”的MD5值测试后，表明“explorer.exe”没有被篡改。那就是说，有恶意的“广告木马”DLL被加载到了“explorer.exe”之中。那么接下来，可以通过《360任务管理器》来查看“explorer.exe”的模块加载情况。

　　在《360任务管理器》中可以看到有一个没有文件厂商信息的可疑程序“ITuivs.dll”被加载到了“explorer.exe”中，它的路径是“C:\Program Files\CommonFiles\ITui”。尝试将“ITuivs.dll”从“explorer.exe”中卸载后，右下角弹出淘宝服装广告的现象就消失了。从而证明，广告窗体“淘宝特卖-马上有新衣”就是“ITuivs.dll”利用“explorer.exe”弹出来的，也就是说“ITuivs.dll”就是“广告木马”的模块。

　　在“ITuivs.dll”连接的多个IP中，“220.181.11.98”和“115.28.253.227”这两个IP是固定的，是每次“广告木马”连网时必须连接到的IP。通过IP反查域名，解析到这两个IP地址均属于《搜狐》网站的IP，也就是说它是连接到“搜狐网”之后才弹出淘宝服装广告的。

　　不光“explorer.exe”会加载“ITuivs.dll”，就连注册表编辑器“regedit.exe”和任务管理器“taskmgr.exe”启动时也会加载它。根据这个已知条件，也就是说运用到图形界面窗体的程序运行时都会把“ITuivs.dll”加载到自身进程中去。如此说来，这个“广告木马”很可能是通过可视化界面的外壳扩展被加载运行的。可是注册表中这类加载项实在太多了，如“HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers”、“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers”、“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad”……等等，所以通过启动项目管理软件《Autoruns for Windows》便能很轻松的查到这个“广告木马”在注册表中的藏身处。

　　通过《Autoruns for Windows》的扫描结果，“广告木马”在注册表中的藏身处在“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers”的分之下，也就是说其子项“__ITui”就是这个“广告木马”的启动项。

病毒名称：搜狐淘宝服装广告；
病毒类型：广告木马；
危害等级：★★
影响平台：Windows98 +；
病毒样本：
　　附上“搜狐淘宝服装广告”木马的广告程序样本，请在下载后24小时内删除。广告程序样本仅供学习参考使用，禁止破坏他人计算机等非法用途，如有后果请自负，本人不承担任何法律责任！
　　不少求助网友反馈，桌面右下角频繁弹出淘宝服装广告的现象是在《搜狐视频》的一次自动更新后出现的，也就是说这个“广告木马”传播方式与《搜狐视频》有关。

　　“搜狐淘宝服装广告”不但会在屏幕右下角时不时的弹出广告窗口影响受害者的正常使用，而且还会占用大量网速下载《迷你天气通》和《光速输入法》还有《豌豆荚》这三个流氓软件偷偷安装到受害者的电脑上。

　　其中《光速输入法》可以说是流氓到了极点，在控制面板中卸载该软件后却依然无法在语言栏中清除它的影子，甚至按“Ctrl”+“Shift”组合键还能将该输入法切换出来。而且在语言栏的设置中，《光速输入法》的“删除”按钮是灰色不可选的。

　　如果不删掉“搜狐淘宝服装广告”的主程序“ITuivs.dll”，那么《迷你天气通》和《光速输入法》还有《豌豆荚》这三款流氓软件就永远不会从电脑中被清理掉。每天的15点和22点左右“搜狐淘宝服装广告”都会联网下载安装这三款流氓软件，这也是近期许多求助网友卸载《迷你天气通》和《光速输入法》还有《豌豆荚》后还会被反复安装回来的原因。

　　在开启《360安全防护中心》的情况下，能够完全阻止流氓软件《迷你天气通》篡改服务项来达到随即启动的目的。

　　《迷你天气通》表面上是一个天气预报软件，但是通过它的“资讯推荐迷你版”广告弹窗来看，它只不过是一个以天气预报功能做掩饰的流氓广告软件罢了。

　　在开启《360安全防护中心》的情况下，也完全能够拦截流氓软件《光速输入法》和《豌豆荚》在系统后台的静默安装。

　　由于众多杀毒软件都无法识别出“ITuivs.dll”的威胁，所以还得需要手工对“搜狐淘宝服装广告”进行清除。

　　开始菜单——运行…输入“regedit.exe”（引号去掉），调出“注册表编辑器”，然后分别删除如下分支：

　　HKEY_CLASSES_ROOT\CLSID\{251B679B-DF83-496d-87C0-3E5DA581FA0A}

　　HKEY_CLASSES_ROOT\TypeLib\{D6DC250A-16C1-4BD3-BA80-A92D65CC612B}

　　HKEY_CLASSES_ROOT\TuiControl.TuiControl

　　HKEY_CLASSES_ROOT\TuiControl.TuiControl.1

　　HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3D4B7388-00D0-4662-90E3-7097574B9773}
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\__ITui

　　删除后请放心，因为这个病毒没有自我修复能力。
　　
　　最后去“C:\Program Files\Common Files\ITui”目录下将“ITuivs.dll”重命名为任意名称，如改名为“搜狐淘宝服装广告”。重启计算机，再次进入系统后将“C:\Program Files\Common Files”目录下的文件夹“ITui”整个删除即可完成手工杀毒！

　　如果电脑已经被“搜狐淘宝服装广告”安装了流氓软件《迷你天气通》和《光速输入法》还有《豌豆荚》，可以通过《360软件管家》对其进行卸载后再清除软件残留。

　　经测试，《360软件管家》可以完美的清除流氓软件《迷你天气通》和《光速输入法》还有《豌豆荚》。

网友“羊羔助手”