阿里妈妈持续流氓

几年前，阿里搞宣传的时候就出了阿里妈妈这个平台，当时的主要推广手段是利用js和浏览器插件病毒进行。

这么多年，阿里妈妈病毒和腾讯、金山、迅雷等多家机构合作推广他们的病毒。一直在更新，现在主要通过捆绑安装的方式进行了，这不，我也在电脑上看到了它的身影。

可能由于合作协议问题，三方的合作商怕追究责任，没有捆绑运行，虽然安装到我的电脑了，但是还没有机会运行。

好吧，说了这么多，我们来看看他是个什么东西

首先、

桌面上看到其中一个或者多个类似图标，如果不是你创建的请别双击，先看属性

打开文件所在位置

文件是淘宝出品

·        
文件名称：Dandelion.exe

·        
MD5：0193b0a034da9e6e2d7ac3e24aed915d

·        
Sha-1：34abf04c2ebad4e6847bc752ee50ab18825cb779

·        
文件大小：1.88MB

别运行，沙河分析文件行为

·        
行为描述：在其他进程中申请内存

附加信息：

%ProgramFiles%\Dandelion.exe

%system%\wbem\wmiprvse.exe

·        
行为描述：遍历磁盘类型

附加信息：

C:,D:,E:

·        
行为描述：检测是否存在指定注册表键

附加信息：

HKEY_CURRENT_USER\SOFTWARE\AlimamaShortcuts\DesktopShortcuts

HKEY_CURRENT_USER\Software\TaoBrowserPID\MachineID

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App
Paths\UCBrowser.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\OleAut

HKEY_LOCAL_MACHINE\Software\TaoBrowserPID\MachineID

·        
行为描述：检测自身是否被调试

附加信息：

·        
行为描述：创建互斥体

附加信息：

"RPCSS_REGEVENT:{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}"

"WMIPRVSE.EXE"

·        
行为描述：创建进程

附加信息：

%ProgramFiles%\Dandelion.exe

%system%\wbem\wmiprvse.exe

·        
行为描述：搜索指定窗口

附加信息：

["Chrome_MessageWindow" ,
"wow.alimama.marketing_service"]

["Chrome_MessageWindow" ,
"wow.alimama.marketing_service_test"]

注册表监控

HKEY_CURRENT_USER\\Software\AlimamaShortcuts

[version_404] = [1.5.3.0]

HKEY_CURRENT_USER\\Software\UCBrowserPID

[MachineIDEx] =
[a4f719344113ce7bd0ee26f3675a112dv0000002cf7b507c]

[MachineID] =
[d2713585a62dd2677f88d0fff85b3fe7]

HKEY_LOCAL_MACHINE\\SOFTWARE\Microsoft\SchedulingAgent

[LastTaskRun] = [\xdd\x07\x01\x00\x03...]

HKEY_LOCAL_MACHINE\\SOFTWARE\UCBrowserPID

[MachineID] =
[d2713585a62dd2677f88d0fff85b3fe7]

[MachineIDEx] =
[a4f719344113ce7bd0ee26f3675a112dv0000002cf7b507c]

同时会新增一个计划任务

%windir%\Tasks\DandelionStarter.job

在软件目录创建debug.log

 ------------

上面说了这么多，那么这个东西是干嘛的呢，通过网上多方打听，可以确定，这是阿里妈妈的推广合作，阿里提供程序，淘宝、金山、UC浏览器等等很多软件可以是推广载体和合作者，这个程序先后为其工作，推广过UC浏览器，迅雷产品，金山的产品等等。这是一个商业模式，而且这个软件和金山卫士、QQ管家、360卫士等有合作，不会被清理，也很难清理，当然了，如果你被安装了这个软件，在还没有运行过之前还是可以直接删除，清理注册表的，如果被运行了，那么将有多个进程互斥，清理起来要麻烦很多，而且版本在不断更新，清理难度会增加，在此我就不说具体怎么清理这个软件了，我只想告诉大家，安装软件的时候注意，下载软件的时候也要注意，看有没有意外的一些软件。如果有条件先在虚拟机安装一些自己没装过的软件，用文件监视器先观察其行为。