AppCertDlls：由病毒引起的Win32进程创建减慢

Question

我在Windows XP Home SP3上享受了大约两个月的巨额创作惩罚。 对于创建大量进程的任务，例如shell脚本（顺便unpack200.exe ，Cygwin上的bash脚本），Makefile，或者解压缩IzPack包（如SpringSource Tool Suite安装程序）（许多单独的unpack200.exe ），问题最明显和烦人。 JAR提取器进程）。 我确信它是通过观察bash脚本诊断输出创建进程，或者观察进程出现在任务管理器中。 一旦进程启动并运行，没有明显的延迟。

我已经在Cygwin邮件列表上报告了这个问题，因为我最初并错误地认为只有Cygwin受到影响，怀疑Cygwin DLL中的错误，或者诸如此类的东西。

在Win32（XP Home）上更新后减速 - （链接到我的帖子到Cygwin列表）

我想知道是否有东西已经安装了一些废话到我认为可能存在于Windows上的进程创建钩子。 （与Java中的安全管理器一样 。）病毒或安全软件？ 我也没有有意识地安装过。 我还怀疑微软更新故障，但我认为他们现在已经解决了这个问题。

据我所知，Win32上的进程是由CreateProcess创建的。

我怎样才能找出为什么流程创建需要这么长时间以及这里到底发生了什么？ 是否有类似于Linux的strace ，甚至可能更好的东西？

Answer 1

非常感谢卢克指出我正确的方向。 Procmon是一个很棒的工具。 从字面上看，系统内部的新世界为我开启了。 通过设置过滤器以包括parent process ID = WINPID of a Cygwin bash.exe然后只监视单个ls命令，很快就找到了罪魁祸首。 它被恶意软件挂钩到名为AppCertDlls的注册表项中，我当然完全没有意识到这一点。

一旦我将恶意软件clipmote.dll移出system32 ，进程创建速度立即恢复正常。

我想我通过安装有毒的免费软件来感染这种病毒。

我花了一些时间来调查这个问题并发现它既可怕又有趣，所以这就是我找到的，当然我会感谢您提供的所有其他信息或任何评论。

恶意软件DLL在每个用户进程中加载​​，甚至是Explorer，taskmgr和procmon本身。 只有SYSTEM下的进程（如procexp.exe中procexp.exe ）似乎仍未受到感染。

这里的问题是HKLM\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\AppCertDlls被检查（至少在我的系统上，但可能在很多系统上，甚至可能在默认情况下），以加载可能对是否有发言权的DLL通过从调用它们的函数返回一个值，允许某些二进制文件运行：

NTSTATUS STDCALL CreateProcessNotify (LPCWSTR lpApplicationName, ULONG Reason); 

事实上，我在该键下有一个名为sethdown的条目，但名字可能是任何东西。

RegEnumValue HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls

Index:  0
Name:   sethdown
Type:   REG_SZ
Length: 66
Data:   C:\WINDOWS\system32\clipmote.dll

从网上发现的报告中我得出结论， AppCertDlls钩子是Windows操作系统的常规部分，而不是一些流氓扩展。 如果是这样，它就是病毒入口点，因为它允许将恶意软件动态配置到进程中。

看起来它实际上 - 并且具有讽刺意味 - 意味着是一个安全功能，与JVM中的安全管理器没有什么不同（请参阅我原来的问题）。 据报道，名为appsec.exe的Microsoft实用程序将使用此密钥。 然后在加载的“安全”DLL上调用的函数是CreateProcessNotify ，如上所述。 根据我的理解，假设只是说是或否 - 但它可以做任何想做的事情。

在我的案例和我分析的运行ls.exe的单个实例中，它创建了五个线程。 他们加载或尝试加载其他DLL并与注册表进行交互。 谁知道还有什么。

如果有人知道更多关于这种危险的机制，我会全力以赴。

这是我在AppCertDlls发现的：

在01/2007提及（Re 5 ：Блокировказапускаприложений）

AppCertDlls报道了Sysinternals论坛（Autoruns），2007年10月

关于AppCertDlls - 病毒提到01/2008

但微软本身广泛使用这一功能，确切地说，它实际上被认为是“一次性”的东西。 仅用于限制可在终端服务器2000下运行的应用程序的方式。 - Andrew Worobow

有关AppCertDlls键和CreateProcessNotify的更多详细信息，01/2008

06/2010感染报告提供了一些细节

恶意软件试图窃取银行账户信息（显然也是钱），但它也可能被配置为做其他事情。 在HKEY_CURRENT_USER\\Software\\AppDataLow\\{some GUID here}下有其他注册表项。 在我做网上银行业务的时候，它一定做了一些屏幕刮擦; 它知道用过的TAN。 我记得我曾经有过这样的印象：我的银行在不久之前或（可能）登录后被黑客攻击我看到一个屏幕一次要求大约20个TAN。 WTF，我想，浏览器输入了错误的URL，我关闭了窗口。 我应该更加关注。 我不会认为整个问题是如此危险。 幸运的是，没有损坏。 幸运的是，我想。

这是我在病毒中发现的重要字符串列表：

• client.dll
• EAPSFILT.dll
• KERNEL32.dll

我认为前两个可能是它试图加载的其他病毒库。

• _aullshr
• CompareStringA
• CreateEventA
• CreateFileA
• CreateFileMappingA
• CreateProcessNotify
• CtfImmIsCiceroStartedInThread
• CtfImmTIMActivate
• DllCleanupServer
• DllStartupServer
• ExitProcess
• GetThreadContext
• ImmDisableIme
• ImmDisableIME
• ImmGetConversionListA
• ImmGetVirtualKey
• ImmRegisterWordA
• ImmSetCandidateWindow
• InterlockedExchangeAdd
• iswlower
• lstrcmpA
• MapViewOfFile
• memset
• OpenThread
• ReadFile
• RealDriveType
• RegenerateUserEnvironment
• RestartDialog
• SetFilePointer
• Sleep
• strchr
• TerminateThread
• UnmapViewOfFile
• vDbgPrintExWithPrefix
• VirtualQueryEx
• WaitForMultipleObjects

Cicero函数看起来很流氓，但它是C:\\WINDOWS\\system32\\imm32.dll ，“Windows IMM32 API客户端库”的一部分 - 不管是什么。

我运行了微软的“系统文件检查器” sfc.exe 。 将对我的程序文件进行更多检查。 并获得病毒扫描程序。 建议欢迎。