名为[WIFI共享精灵]或[WIFI宝]的程序恶意去UAC保护机制

这两天突然发现系统的UAC保护机制被去除了,所有程序默认以管理员身份运行。比如打开cmd,直接就是system权限,没有安全桌面提示。

cmd-privilege

打开控制面板中的用户账户控制,看到变成了”从不通知”:

UAC-notify

我怀疑系统中毒,开始排查。因为木马一般会以服务的形式启动,所以直接查看有没有可疑的系统服务。

win + r,输入services.msc,查看已启用的服务。 发现了一个比较可疑的服务,名为ConnectifyDHCPSER

描述为: 为WIFI共享设备注册并更新IP地址。如果此服务停止,WIFI共享设备将不能接收动态IP地址和DNS更新,此服务不能被禁用。

我突然想起前两天为了抓包测试淘宝客户端的刮刮卡、抽奖什么的,曾临时下载了网上一个名为“WIFI共享精灵”的程序,它也有另一个壳子,叫”WIFI宝”。

我禁用了这个服务,并且把UAC 的安全策略恢复到默认。win + r,输入secpol.msc,在“本地策略” -> “安全选项”中找到”用户账户控制“,对照修改为系统默认值:

组策略设置 默认值
用户帐户控制:用于内置 Administrator 帐户的管理员批准模式 已禁用
用户帐户控制:允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升 已禁用
用户帐户控制:管理员批准模式中管理员的提升提示行为 非 Windows 二进制文件的同意提示
用户帐户控制:标准用户的提升提示行为 在安全桌面上提示凭据
用户帐户控制:检测应用程序安装并提示提升 已启用(家庭的默认值) 

已禁用(企业的默认值)

用户帐户控制:只提升签名并验证的可执行文件 已禁用
用户帐户控制:仅提升安装在安全位置的 UIAccess 应用程序 已启用
用户帐户控制:以管理员批准模式运行所有管理员 已启用
用户帐户控制:提示提升时切换到安全桌面 已启用
用户帐户控制:将文件和注册表写入错误虚拟化到每用户位置 已启用

在”控制面板\所有控制面板项\用户帐户“,把”用户账户设置“也更改为默认值。此时UAC已经恢复生效了。

经过卸载后再次安装进行测试,发现UAC被篡改确实是”WIFI共享精灵”恶意更改,对应的可执行文件是bmser.exe。

建议大家不要使用网上所谓的”WIFI共享精灵”或者”WIFI宝”、”Connectify中文版”之类的程序。

而是直接下载安装原始的Connectify。 上述恶意篡改UAC的服务,可能包含了下载者代码。

《名为[WIFI共享精灵]或[WIFI宝]的程序恶意去UAC保护机制》上有1条评论

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注