标题: 大家来说说有哪些正常程序有可疑的行为 [打印本页]

---

作者: 反黑先锋     时间: 2007-1-8 19:30    标题: 大家来说说有哪些正常程序有可疑的行为

;)首先这里特别要提一下“侵入到进程”，DLL注入木马等会用到，但是还是有正常程序会用的，比如珊瑚虫QQ（CoralQQ.exe）、金山词霸（XDICT.exe）

金山词霸2006以前的版本在使用屏幕取词的时候不单单会侵入到其他进程，还会导致其他的进程数据执行（Data Execution，溢出利用程序的特点）

其中金山词霸2005有一个BUG，在某些主板下使用金山词霸屏幕取词是会发生崩溃现象。对此可以到金山的网站http://support.kingsoft.com/c_1/XdictGrb.dll 下载XdictGrb.dll文件，将金山词霸安装目录下的原文件替换掉。

RealVNC：C:\Program Files\RealVNC\winvnc4.exe
浩方（包括QQ对战平台之类的）：C:\浩方对战平台\GameClient.exe
珊瑚虫QQ：C:\Program Files\Tencent\qq\CoralQQ.exe
迅雷：C:\Program Files\Thunder Network\Thunder\Thunder.exe
迅雷：C:\Program Files\Thunder Network\Thunder\Program\LanguageSetter.exe

部分摘自:flo 原创《用好卡巴的主动防御》


微点主要依据行为判断　程序有了病毒的行为　微点就会处理它。　因为一些正常软件有类似病毒行为才导致微点存在误报的现象

大家来说说看　还有哪些正常程序具有可疑的行为?

添加中:
miranda
网际快车1.8版
一些网络游戏　如跑跑卡丁车　盛大富翁

[ Last edited by 反黑先锋 on 2007-1-10 at 20:14 ]

---

作者: lfliuy     时间: 2007-1-8 20:40
miranda 新加入dll插件之后重启会报可疑
civ 读取存档的时候报可以木马（生成的一个tmp文件） 然后退出

我已经发给微点了

^ ^

[ Last edited by lfliuy on 2007-1-8 at 20:54 ]

---

作者: nasdaq     时间: 2007-1-8 21:32

Quote:

Originally posted by lfliuy at 2007-1-8 20:40: miranda 新加入dll插件之后重启会报可疑 civ 读取存档的时候报可以木马（生成的一个tmp文件） 然后退出 我已经发给微点了 ^ ^ [ Last edited by lfliuy on 2007-1-8 at 20:54 ]

难不成这位兄弟也挂QQ？

---

作者: lfliuy     时间: 2007-1-8 21:39
挂QQ???
你是说miranda么? 恩,我同时用QQ,MSN,ICQ,(或者也算上Gtalk,Yahoo) 就算只有两个也用miranda比较好了。 前几天装的时候出的问题，在想是不是因为对dll的操作引起的...

---

作者: 我     时间: 2007-1-8 22:16
如果说有病毒行为的正常程序　qq当之无愧。

---

作者: nasdaq     时间: 2007-1-8 22:34

Quote:

Originally posted by 我 at 2007-1-8 22:16: 如果说有病毒行为的正常程序　qq当之无愧。

是啊，QQ那个什么键盘加密驱动，我觉得技术上讲和偷QQ的木马没什么不同，完全看你怎么用了。QQ键盘加密驱动+密码网络传输认证，如果要管QQ叫QQ密码大盗也是成立的，只不过腾讯服务器没有把咱们的密码外泄罢了。

PS：我对提供保护技术的那个韩国公司挺不满意的，无论是腾讯的键盘加密保护还是跑跑卡丁车的防外挂保护，两个技术都做得不太好。想必大家都知道QQ仍然可以被盗，跑跑依然可以使用外挂吧！

---

作者: bingyan     时间: 2007-1-9 08:31
那个网际快车1.8版的老是有个DLL被报木马，结果删除后无法监视URL了，点了链接后不下载，恢复后就正常了，快车是在官网上下的

---

作者: Legend     时间: 2007-1-9 08:39
请问网际快车的下载连接，和当前微点的版本号，系统版本号.

---

作者: bingyan     时间: 2007-1-9 09:09
这个快车的连接h**ttp://down5.flashget.com/fg180cn.exe，微点的不知道了，反正这两天老是在重装缷载微点，应该就是最近的版本吧

---

作者: 反黑先锋     时间: 2007-1-9 20:55
*
miranda 新加入dll插件之后重启会报可疑
civ 读取存档的时候报可以木马（生成的一个tmp文件） 然后退出

我已经发给微点了

^ ^

*
如果说有病毒行为的正常程序　qq当之无愧。


*
是啊，QQ那个什么键盘加密驱动，我觉得技术上讲和偷QQ的木马没什么不同，完全看你怎么用了。QQ键盘加密驱动+密码网络传输认证，如果要管QQ叫QQ密码大盗也是成立的，只不过腾讯服务器没有把咱们的密码外泄罢了。

PS：我对提供保护技术的那个韩国公司挺不满意的，无论是腾讯的键盘加密保护还是跑跑卡丁车的防外挂保护，两个技术都做得不太好。想必大家都知道QQ仍然可以被盗，跑跑依然可以使用外挂吧！

*
那个网际快车1.8版的老是有个DLL被报木马，结果删除后无法监视URL了，点了链接后不下载，恢复后就正常了，快车是在官网上下的

:lol:收到！　原帖已更新　这个帖子要顶起来**

---

作者: 重金属     时间: 2007-1-9 21:10
我还没用微点，不过在kv2007里面有出现因为安装Daemon tool虚拟光驱而产生可疑，不知道微点是否一样出现

---

作者: weizg     时间: 2007-1-9 21:14
我玩魔兽时就报主程序是可疑了

---

作者: ballpointpen     时间: 2007-1-9 22:36
正版豪杰解霸（任何版本）的自动伺服器程序“X:\HEROSOFT\HERO9\SYSEXPLR.EXE”被微点报为已知木马，名称为：
Trojan-Download.Win32.Agent.azc
注：豪杰解霸可以从官方网站下载。

[ Last edited by ballpointpen on 2007-1-9 at 22:39 ]

---

作者: 曙光     时间: 2007-1-9 22:47

Quote:

Originally posted by ballpointpen at 2007-1-9 10:36 PM: 正版豪杰解霸（任何版本）的自动伺服器程序“X:\HEROSOFT\HERO9\SYSEXPLR.EXE”被微点报为已知木马，名称为： Trojan-Download.Win32.Agent.azc 注：豪杰解霸可以从官方网站下载。 [ Last edited by ballpo ...

这个肯定是病毒,微点都报已知的了!

---

作者: lfliuy     时间: 2007-1-9 22:55
To #11楼:
Daemon tools 正常 (我用的daemon tools4.00HE)

---

作者: ballpointpen     时间: 2007-1-9 23:34

Quote:

Originally posted by 曙光 at 2007-1-9 22:47: 这个肯定是病毒,微点都报已知的了!

豪杰解霸的自动伺服器程序（功能：当插入光盘时，自动启动豪杰播放器播放光驱的内容），很老的版本到9X版本都是存在的。再说，豪杰解霸也是著名的媒体播放器。所以，我不认为它是“真正的”木马。当然，其行为已经符合微点定义的某种木马的行为。建议微点测试一下。

---

作者: Legend     时间: 2007-1-10 09:31
经测试没有您的现象，方便的话请提供您具体的下载版本？微点的具体版本？
请把您的微点的木马日志、系统自启动信息、程序生成日志、注册表变更日志导出发到support@micropoint.com.cn。

---

作者: ballpointpen     时间: 2007-1-10 10:17
操作系统：Win XP_SP2
微点测试版版本：1.2.10559
豪杰解霸版本：豪杰超级解霸9.4.1
下载地址：http://www.herosoft.com/download.php?fid=1

操作程序，以及微点的反应和日志记录如下：
      手工运行自动播放伺服器程序（因为取消了随机启动）：开始菜单--程序--豪杰超级解霸9--辅助工具--自动播放伺服器。当单击“自动播放伺服器”快捷方式时，微点立刻报警发现木马，询问用户如何处理。

木马日志内容：
　　时间：2007-01-10 10:02:29
　　处理结果：用户取消
　　木马进程名：Trojan-Download.Win32.Agent.azc
　　木马文件创建者:F:\HEROSOFT\HERO9\SYSEXPLR.EXE

程序生成日志：空，没有记录（在手工运行自动播放伺服器程序之前，先清空程序生成日志）

注册表变更日志：空，没有记录（在手工运行自动播放伺服器程序之前，先清空注册表变更日志）

[ Last edited by ballpointpen on 2007-1-10 at 10:35 ]

---

作者: 八闽汀江子     时间: 2007-1-10 11:04

Quote:

Originally posted by ballpointpen at 2007-1-9 23:34: 豪杰解霸的自动伺服器程序（功能：当插入光盘时，自动启动豪杰播放器播放光驱的内容），很老的版本到9X版本都是存在的。再说，豪杰解霸也是著名的媒体播放器。所以，我不认为它是“真正的”木马。当然，其行为已 ...

也有可能是 安装包没问题，但是 安装后就被感染了？！

---

作者: Legend     时间: 2007-1-10 15:36
ballpointpen
谢谢您的反馈，请升级最新版本测试

---

作者: ballpointpen     时间: 2007-1-10 16:14
超版，升级到1.2.10562版之后问题已经解决了。谢谢！
再次表扬微点人的态度和效率。

[ Last edited by ballpointpen on 2007-1-10 at 16:15 ]

---

作者: 反黑先锋     时间: 2007-1-10 20:11

Quote:

Originally posted by ballpointpen at 2007-1-10 16:14: 超版，升级到1.2.10562版之后问题已经解决了。谢谢！ 再次表扬微点人的态度和效率。 [ Last edited by ballpointpen on 2007-1-10 at 16:15 ]

:lol:你不是金山的?

*
To #11楼:
Daemon tools 正常 (我用的daemon tools4.00HE)

*
玩魔兽时就报主程序是可疑

---

作者: aannggeell     时间: 2007-1-10 20:17
这东东恐怕说不完整！

---

作者: 青豆     时间: 2007-1-10 21:26
微点报NEMACA软件是可疑程序，添加到可信程序后，问题解决。
我觉得没有纯粹的可信程序和危险程序，关键看用户怎么看。
因为添加到可信程序后，微点不报警了，所以也就不打算上报了。（那个软件是算空气压缩机或汽轮机叶片的程序，很贵，就不上传了）

---

作者: Legend     时间: 2007-1-11 10:34
请问您的NEMACA软件版本及下载连接？您可以把您的被报的文件压缩发到virus@micropoint.com.cn我们具体分析
并请把您的微点安装目录下的mp6整个目录打包压缩发到support@micropoint.com.cn

---

欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn