一、木马变种概述与攻击目标

TrojanClicker.Clickaire.c是一种针对Windows操作系统的复合型木马病毒，其核心攻击目标为IE浏览器及相关系统组件。该变种通过多阶段攻击链实现网络流量劫持、用户数据窃取及系统持久化控制，主要影响Windows 9X/2000/XP/NT/Me等早期版本系统。

攻击链分为三个阶段：

1. 初始渗透：通过伪装成合法软件或捆绑下载进入目标系统
2. 系统篡改：修改浏览器配置与注册表关键项
3. 持久化维持：创建自启动项并删除安全组件

该变种与Trojan/QQMsg.QQTail.b存在协同攻击行为，后者通过复制自身为kern32.exe（伪装系统进程）并修改注册表实现开机自启，形成双重劫持机制。

二、核心攻击技术解析

2.1 动态DLL注入与BHO劫持

病毒运行后首先执行以下操作：

Windows 95/98/Me路径：
C:\Windows\Application Data\Microsoft\Office\Excel10.dll
Windows NT/2000/XP路径：
C:\Documents and Settings\<用户名>\Application Data\Microsoft\Office\Excel10.dll

通过COM组件注册机制将Excel10.dll注册为浏览器帮助对象（BHO），要求IE版本≥4.0。该DLL包含劫持代码，可在浏览器启动时注入恶意脚本，实现：

• 搜索结果重定向
• 广告内容注入
• 关键页面临时替换

2.2 注册表多维度篡改

病毒通过修改以下注册表键值实现持久控制：

2.2.1 浏览器主页锁定

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main

添加键值示例：

Start Page="http://恶意域名/search"
Search Page="http://恶意域名/search"
Local Page="http://恶意域名/local"

2.2.2 搜索提供程序劫持

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search

修改CustomizeSearch、SearchAssistant等键值，强制使用恶意搜索服务。

2.2.3 CLSID与接口注册

创建恶意CLSID项实现组件劫持：

HKEY_CLASSES_ROOT\CLSID\{自定义GUID}
HKEY_CLASSES_ROOT\Interface\{自定义IID}

通过TypeLib注册实现DLL动态加载，规避静态检测。

2.3 系统文件与启动项清理

为消除安全软件干扰，病毒执行以下操作：

1. 删除系统启动项：
   • nvstart
   • AddClass
   • 其他自定义安全组件
2. 终止安全进程：
   • 通过任务管理器API结束监控进程
   • 修改服务配置禁用实时防护

三、持久化控制机制

3.1 多位置自启动注册

采用三种启动方式确保持久化：

1. 用户级启动：

   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

   添加键值指向恶意DLL路径

2. 系统级启动：

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

   注册系统范围自启动项

3. 服务伪装：

   • 创建名为”Windows Update Service”的恶意服务
   • 设置启动类型为自动（DELAYED_START）

3.2 进程守护机制

通过互斥量（Mutex）实现单实例运行：

HANDLE hMutex = CreateMutex(NULL, TRUE, "Global\\Excel10_Service_Mutex");
if (GetLastError() == ERROR_ALREADY_EXISTS) {
    ExitProcess(0); // 防止重复运行
}

四、防御与检测策略

4.1 注册表监控方案

建议实施以下监控规则：

1. 关键路径白名单：

   • 限制HKEY_CLASSES_ROOT\CLSID的修改权限
   • 监控Internet Explorer\Main下主页相关键值变化

2. 异常行为检测：

   # PowerShell检测示例
   Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" | 
   Where-Object { $_.PSObject.Properties.Name -notmatch "合法软件名" }

4.2 文件完整性保护

1. 哈希校验：

   • 对Excel10.dll建立基线哈希值
   • 定期扫描系统目录校验文件完整性

2. 数字签名验证：

   • 禁止未签名DLL加载到浏览器进程
   • 实施代码签名白名单机制

4.3 内存防护技术

1. EDR解决方案：

   • 部署终端检测与响应系统
   • 监控异常的RegSetValueExAPI调用

2. 行为阻断规则：

   # 示例YARA规则片段
   rule TrojanClicker_Clickaire_c {
       strings:
           $a = "Excel10.dll" nocase
           $b = "idgsearch.com" nocase
           $c = "2020search.com" nocase
       condition:
           all of ($a, $b, $c) and filesize < 500KB
   }

五、应急响应流程

5.1 隔离与取证

1. 网络隔离：

   • 立即断开受感染主机网络连接
   • 保留内存转储与网络日志

2. 系统快照：

   • 创建系统还原点
   • 导出完整注册表备份

5.2 清除步骤

1. 终止恶意进程：

   taskkill /f /im excel10.dll
   taskkill /f /im kern32.exe

2. 删除注册表项：

   • 使用regedit手动清理恶意键值
   • 运行reg delete命令批量处理

3. 文件系统清理：

   • 删除所有Excel10.dll副本
   • 清理%APPDATA%\Microsoft\Office\目录

5.3 系统加固

1. 更新补丁：

   • 安装所有未修复的系统漏洞补丁
   • 升级IE浏览器至最新版本

2. 权限管理：

   • 实施最小权限原则
   • 禁用普通用户注册表修改权限

该木马变种通过多层次攻击技术实现系统控制，安全团队需建立纵深防御体系，结合终端防护、网络监控和行为分析技术构建完整防护链。建议定期进行安全意识培训，避免用户下载未知来源软件，从源头降低感染风险。