OKSD
禁止发言
积分 82
发帖 82
注册 2009-8-21
|
#21
[分析] 搜狗浏览器点击360弹窗 微点拦截未知间谍
搜狗浏览器修改360安全卫士默认浏览器修改拦截弹框判断结果被微点报为木马
作者:ooxxvsxxoo 2009-12-18 13:50
使用搜狗拼音的时候提示下载安装搜狗浏览器, 一时好奇, 装一个呗.
装完后机器上的微点报有木马, 仔细一看报的是搜狗浏览器主进程生成的一个tmp文件.
这是咋回事情呢? 自己的机器一直很干净, 不可能被感染啊...
IDA此TMP...
嗯 call sub_4011C3, 点进去看看.
if ( SHGetFolderPathW(0, 38, 0, 0, &String2) )
lstrcpyW(&String2, L"C:\\Program Files");
lstrcpyW(&Data, &String2);
lstrcatW(&Data, L"\\360\\360se3\\360SE.exe");
hKey = 0;
if ( !RegOpenKeyW(HKEY_CLASSES_ROOT, L"Applications\\360SE.exe\\shell\\open\\command", &hKey) )
{
cbData = 260;
RegQueryValueExW(hKey, 0, 0, 0, (BYTE *)&Data, &cbData);
}
lstrcpyW(&String1, &String2);
lstrcatW(&String1, L"\\Internet Explorer\\iexplore.exe");
v13 = &String1;
v14 = L"notepad.exe";
v15 = L"calc.exe";
v16 = L"cmd.exe";
v17 = L"regedit.exe";
v18 = L"ctfmon.exe";
v19 = L"osk.exe";
v20 = L"explorer.exe";
v21 = &Data;
v2 = 0;
do
{
wsprintfW(&CommandLine, L"\"%s\"", (&v14)[2 * v2]);
v4 = 68;
v3 = &StartupInfo;
do
{
LOBYTE(v3->cb) = 0;
v3 = (struct _STARTUPINFOW *)((char *)v3 + 1);
--v4;
}
while ( v4 );
StartupInfo.cb = 68;
v6 = 16;
v5 = &ProcessInformation;
do
{
LOBYTE(v5->hProcess) = 0;
v5 = (struct _PROCESS_INFORMATION *)((char *)v5 + 1);
--v6;
}
while ( v6 );
result = CreateProcessW(0, &CommandLine, 0, 0, 0, 0x8000004u, 0, 0, &StartupInfo, &ProcessInformation);
if ( result )
{
result = sub_401000(ProcessInformation.hProcess, ProcessInformation.hThread, lpBuffer, a2);
if ( (_BYTE)result )
return result;
result = TerminateProcess(ProcessInformation.hProcess, 0);
}
++v2;
}
while ( v2 < 9 );
return result;
}
哈哈 强大的F5啊.
原来搜狗和360开战了, 判断下有没有\\360\\360se3\\360SE.exe 360安全浏览器.
如果有的话就调用这些系统进程.
v14 = L"notepad.exe";
v15 = L"calc.exe";
v16 = L"cmd.exe";
v17 = L"regedit.exe";
v18 = L"ctfmon.exe";
v19 = L"osk.exe";
v20 = L"explorer.exe";
然后
if ( NumberOfBytesWritten == 12
&& (WriteProcessMemory(v9, lpStartAddress, dword_403010, 0x40u, &NumberOfBytesWritten), NumberOfBytesWritten == 64)
&& (WriteProcessMemory(v9, v16, lpBuffer, v5, &NumberOfBytesWritten), NumberOfBytesWritten == v5)
&& (v10 = (DWORD)lpStartAddress, CreateRemoteThread(v9, 0, 0, lpStartAddress, 0, 0, 0)) )
{
Context.ContextFlags = 65599;
if ( GetThreadContext(hThread, &Context) )
{
Context.Eip = v10;
SetThreadContext(hThread, &Context);
ResumeThread(hThread);
}
result = 1;
}
嗯 GetThreadContext WriteProcessMemory 猥琐流 改变notepad.exe等的程序执行, 怪不得会被微点报木马了.
v29 = GetProcAddress(v13, "SendInput");
搜狗费了这么大的劲来改变notepad.exe的执行顺序, 想干嘛呢?
功力不够, 看不出来了 还是试试看吧.
不懈努力下, 终于搞明白了.
注意图中的红圈, 那是鼠标点击动作.
《搜狗浏览器点击360弹窗》 视频:http://www.tudou.com/programs/view/iD9jtUfeLTs
原来搜狗在用Sendinput点击卫士的默认浏览器修改弹窗.
唉... 有这精力干点啥不好, 非得去攻击别人的软件, 得 被微点报木马了吧.
赶紧卸载先了...
tmp 文件下载地址, 有兴趣的牛人们可以自己看看, 很好玩.
hXXp://www.fileupyours.com/view/269795/xx.zip
(文件链接现已失效)
最近读者: 360_aijevol 360_MJ0011
| |
※ ※ ※ 本文纯属【OKSD】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2010-2-19 18:43 |
|
OKSD
禁止发言
积分 82
发帖 82
注册 2009-8-21
|
#22
认为有的软件没病毒?或者说病毒行为?
记得原来很多人说微点误报暴风影音(提示后门程序)
最后得知暴风影音在没有通知用户的情况下自动加入广告程序,(这已经是病毒行为了)加入广告就属于后门的......
暴风影音的后门广告【你可以百度一下的】
【百度搜索暴风影音后门】上次暴风为什么被黑了?不就因为这个后门广告吗
微点提示暴风影音有后门程序(微点是行为分析)特征码的杀毒软件不会提示的
但想说的是,暴风很流氓................
上次微点提示皮皮播放器间谍程序,最后使用HIPS运行监测之后发现
皮皮播放器自动后台加入DLL广告程序,本身不通知用户后台自己加入
本身就是一种病毒行为和病毒已经没有两样了。
现在的程序越来越不老实了,搞的都很像病毒
而且误报什么软件都有的,是不可避免的
如果一个软件查杀率很低我相信他的误报当然也很低的
比如,卡巴 小红伞刚进入国内的时候误报也是很严重的,总要有时间适应和解决的
瑞星误杀微软补丁,查杀用户邮件
百度搜索瑞星误杀门。
| |
※ ※ ※ 本文纯属【OKSD】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-19 18:45 |
|
OKSD
禁止发言
积分 82
发帖 82
注册 2009-8-21
|
|
|
2010-2-19 18:45 |
|
OKSD
禁止发言
积分 82
发帖 82
注册 2009-8-21
|
#24
选了取消,并不是用系统关联浏览器打开,而是让你选择浏览器
第一次使用连这个可推荐浏览器都没有。。。
下次再双击,还会提示要不要装迅雷看看,一直要到你装了迅雷看看,才会出现原来版本迅雷那种使用系统自带播放器!
一旦装上迅雷,就有迅雷的流氓插件不受用户控制的自行把电脑上的资料以P2P的方式传递(即使你的迅雷没有开启)。由于这个过程在后台运行,用户通常发现不了。浪费大量的PC资源
如果是按流量计费的用户,这些流量不知要让他们损失多少银子
更可恶的是用户的隐私安全将不副存在
最新的迅雷看看实在太流氓了吧,我根本不想下载看看,只想用我的播放器看!
而我在最新版的迅雷上双击视频,只会提示我要下载最新版本迅雷看看,然后如果点取消进入的竟然是选择播放器???哈。。我默认播放器就是KMPLAYER,而且我之前用迅雷都是KMPLAYER播放,你们怎么还那么搞笑的让别人选呢?要是菜鸟根本都不知道怎么选,而且如果选取消,下次双击还是要你按看看播放器,你个好好的迅雷不就成流氓软件了吗?
今天用讯雷下载了一首MP3,本想双击打开,用完美解码播放.
可是却出现一个提示"讯雷看看播放器更新提示",
本来,这样做是个好的举措.方便没有安装播放器的人自动安装一个播放器.
可是迅雷做法却是非常流氓的.
大家看上面的图,如果点了"确定",那么迅雷就马上安装,如果不点"确定",点击上面的"X"关闭提示.
那么下次,它还会提示.
您说了, 那不是有个选项"以后不再提示"嘛.把它选上不就行了吗?
不好意思, 那个选项只针对"确定"按钮的,也就是说,你必须点了"确定"那个选项才管用.
呵呵,就是安装了它的播放器之后,才管用.
你都安装上了,它当然不提示了.
迅雷的行径越来越流氓.
希望大家使用迅雷去广告版,已经去掉这些流氓行为了。
| |
※ ※ ※ 本文纯属【OKSD】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-19 18:46 |
|
OKSD
禁止发言
积分 82
发帖 82
注册 2009-8-21
|
#25
楼主你自己不懂好好学习去吧,别出来丢人了。
| |
※ ※ ※ 本文纯属【OKSD】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-19 18:46 |
|
wqjidibingkewq
注册用户
积分 126
发帖 126
注册 2010-2-7
|
#26
顶你们这些所谓的高手。。
我刚刚和微点QQ问过了,不懂编程。和软件分析也可以来问的
你懂的别人不懂的就说别人是小白。丢人什么的。。
敢问你们什么都懂??
再说了。。想讨论就讨论。不想没人要你说。。
别动、不动就小白的。丢不丢人的。
别忘了你们刚来的时候。也是从小白过来的。。。
| |
※ ※ ※ 本文纯属【wqjidibingkewq】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-19 18:56 |
|
littlefritz
版主
微点帮帮团团长
积分 3505
发帖 3502
注册 2009-5-23
来自 微点帮帮团
|
|
|
2010-2-19 19:09 |
|
f8312519
银牌会员
积分 2184
发帖 2169
注册 2008-10-27
来自 维创论坛
|
#28
如果楼主确定是官网下载的.那就是误报了. 建议先添加用加信然后上报.
| |
※ ※ ※ 本文纯属【f8312519】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
维创论坛免费软件园地欢迎您!http://herofw.haotui.com |
|
|
|
2010-2-20 01:23 |
|
饭桶小白
高级用户
积分 558
发帖 556
注册 2009-5-9
|
#29
希望大家注意点用语........会员的发言虽然不能代表微点官方,但是普通 用户看到了会对微点产生厌恶感!如果人家什么都懂,就不用来这里问问题啦!
别人有问题,知道解决方法就要诚心解决,而不是一出口就说人家小白,是托==。他们不懂微点的原理、微点的使用方法,可以理解,但是我们可以告诉他!
如果他们不相信微点所报的病毒,我们可以告诉他是不是误报、漏报或者这是真的病毒木马~
希望大家语气不要那么偏激,不是每个人都是高手,不懂很正常的,老师就教导我们,不懂就要问,如果作为老师的你们,对提问题的同学开口就骂别人笨,还会有谁会提问题呢!这可不是好现象!
| |
※ ※ ※ 本文纯属【饭桶小白】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-20 07:38 |
|
世间小迷途
新手上路
积分 2
发帖 2
注册 2010-2-20
|
#30
可能是链接有问题,这种问题不好说,各种原因都有,让微点的高手反汇一下看看吧。
| |
※ ※ ※ 本文纯属【世间小迷途】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2010-2-20 07:55 |
|
|
