Board logo

标题: 日 。种个马也太难了。。 [打印本页]
作者: wqjidibingkewq     时间: 2010-2-19 18:05    标题: 日 。种个马也太难了。。

版主看图。。
又有未知出现了。。。。。。。。。
关键是,这个遨游浏览器,下载吗的居然控绑木马。。。
看看到底是不是误报。。。。。。。。。。。。。
我就日了。。
正经上黄网也不见的能有个马。,。。
官方给的链接地址下载的浏览器,居然有马。,。
赶紧给看看。是不是误报。。。
附件 1: QQ截图未命名.png (2010-2-19 18:05, 10.2 K,下载次数: 46)


作者: 统一天下     时间: 2010-2-19 18:06
微点真的是误报?

建议楼主看看这个分析, 你真的认为现在的软件没有病毒行为?

[分析] 搜狗浏览器点击360弹窗 微点拦截未知间谍

http://bbs.pediy.com/showthread.php?t=106793


探讨微点提示迅雷"木马"迅雷越来越流氓了

http://bbs.pediy.com/showthread.php?t=106829
作者: wqjidibingkewq     时间: 2010-2-19 18:11
问题是我的遨游浏览器是各大网站都说好的软件
应该算是百名带对象吧。。。
而且还是官网的下载链接呢。。
至于你发的那些。。。不懂。。
作者: 统一天下     时间: 2010-2-19 18:12


  Quote:
Originally posted by wqjidibingkewq at 2010-2-19 18:11:
问题是我的遨游浏览器是各大网站都说好的软件
应该算是百名带对象吧。。。
而且还是官网的下载链接呢。。
至于你发的那些。。。不懂。。

不懂就看,你以为现在的软件都是文明软件?

你不懂编程吧?
作者: 蓝天之鹰     时间: 2010-2-19 18:14


  Quote:
Originally posted by wqjidibingkewq at 2010-2-19 18:11:
问题是我的遨游浏览器是各大网站都说好的软件
应该算是百名带对象吧。。。
而且还是官网的下载链接呢。。
至于你发的那些。。。不懂。。

看2楼发的吧,暴风影音微点提示后门程序,大家都说微点误报暴风影音
其实呢? 现在都知道了 暴风有后门。
你以为软件都是好的?现在的软件为了赚钱里面的程序很流氓的。
作者: 飞影传人     时间: 2010-2-19 18:16


  Quote:
Originally posted by wqjidibingkewq at 2010-2-19 18:11:
问题是我的遨游浏览器是各大网站都说好的软件
应该算是百名带对象吧。。。
而且还是官网的下载链接呢。。
至于你发的那些。。。不懂。。

这你都看不懂? 你水平太高了。 好?你怎么证明?
你怎么看他是不是流氓,如果懂编程用逆向或者反汇编看看吧

具体看看他是什么挂钩或者行为吧。楼主是一个小白,鉴定完毕。

:D
作者: 飞影传人     时间: 2010-2-19 18:17
现在的软件很流氓的,自动后台加入DLL后台广告,这已经属于病毒行为了
作者: Legend     时间: 2010-2-19 18:17
青楼主将微点的报警文件和微点的技术支持信息(辅助功能-----生成技术支持信息,不勾选包含相关文件)一起压缩发送到:support@micropoint.com.cn  我们具体分析下!
作者: 洪教主     时间: 2010-2-19 18:19


  Quote:
Originally posted by 统一天下 at 2010-2-19 18:06:
微点真的是误报?

建议楼主看看这个分析, 你真的认为现在的软件没有病毒行为?

[分析] 搜狗浏览器点击360弹窗 微点拦截未知间谍

http://bbs.pediy.com/showthread.php?t=106793


探讨微 ...

哎,现在的软件越来越流氓了,不过微点不可能查杀他们,品牌太大了。升级之后不会杀了
作者: wqjidibingkewq     时间: 2010-2-19 18:20
真不想和你争论。。
别人爱用什么就用什么。。。想下什么就下什么。。。
你发的那几个链接我看过了。。
真不知道那是那个白痴。。。
在那个白痴地方下载的。。。。。才会被弄了一堆东西。。。
我的电脑上也有迅雷是最新版本的迅雷。。。
我的是从官网直接下载。。
在安装过程中。。微点主动防御根本没有提示那编帖子里提到的情况。。
吗的糊弄谁呢,,而且,安装最后出现提示什么插件。。。。我直接毙了
第一次启动迅雷后,在迅雷文件夹内好像有迅雷看看的链接。。
只要用户直接在人间的迅雷上看东西,。都会提示让你用看看。。
这只是一中推广手段。。
如果你觉得看看不好。。直接卸载就可以了。。。
那个家伙不是托就是不会安装。估计一路点下一步了。。
怨谁
附件 1: QQ截图未命名.png (2010-2-19 18:20, 5.99 K,下载次数: 42)


作者: 洪教主     时间: 2010-2-19 18:21


  Quote:
Originally posted by 飞影传人 at 2010-2-19 18:17:
现在的软件很流氓的,自动后台加入DLL后台广告,这已经属于病毒行为了

恩,这种行为属于后门自己加入的并没有告知用户,属于一种病毒行为,

只能说现在的软件太流氓了。
作者: 统一天下     时间: 2010-2-19 18:23


  Quote:
Originally posted by wqjidibingkewq at 2010-2-19 18:20:
真不想和你争论。。
别人爱用什么就用什么。。。想下什么就下什么。。。
你发的那几个链接我看过了。。
真不知道那是那个白痴。。。
在那个白痴地方下载的。。。。。才会被弄了一堆东西。。。
我的电脑上也有 ...

:D

你就别出来给我丢人了好不好,编程都不懂, 你会分析软件行为吗?

小白而已。   O(∩_∩)O

:D:lol:
作者: snhao.     时间: 2010-2-19 18:28
现在很多软件很流氓的。强制关联系统文件,而且自动后台加上广告(他告知用户了吗?)
本身就是一种病毒行为,微点属于行为分析,楼主肯定不懂编程吧?
可以学习一下,以后会看懂的。
作者: wqjidibingkewq     时间: 2010-2-19 18:31
版主。。邮件已发送。。
另外,。楼上的。,
别一口一口小白的。。
你很弱智啊。。
正因为不知道才来问的。。
我吃多了去分析软的的什么编程啊。。还他吗的逆编程。。
显的你很高深似的。。。
作者: 统一天下     时间: 2010-2-19 18:33


  Quote:
Originally posted by wqjidibingkewq at 2010-2-19 18:31:
版主。。邮件已发送。。
另外,。楼上的。,
别一口一口小白的。。
你很弱智啊。。
正因为不知道才来问的。。
我吃多了去分析软的的什么编程啊。。还他吗的逆编程。。
显的你很高深似的。。。

:D  :D

真不想和你争论。。
别人爱用什么就用什么。。。想下什么就下什么。。。
你发的那几个链接我看过了。。
真不知道那是那个白痴。。。
在那个白痴地方下载的。。。。。才会被弄了一堆东西。。。
我的电脑上也有迅雷是最新版本的迅雷。。。
我的是从官网直接下载。。
在安装过程中。。微点主动防御根本没有提示那编帖子里提到的情况。。
吗的糊弄谁呢,,而且,安装最后出现提示什么插件。。。。我直接毙了
第一次启动迅雷后,在迅雷文件夹内好像有迅雷看看的链接。。
只要用户直接在人间的迅雷上看东西,。都会提示让你用看看。。
这只是一中推广手段。。
如果你觉得看看不好。。直接卸载就可以了。。。
那个家伙不是托就是不会安装。估计一路点下一步了。。
怨谁


:D  :D

不懂就不要装懂,你真的看懂里面的代码编程分析了?

:lol:  真丢人,小白嘛,可以理解  :lol:

你真的会分析软件行为吗?   O(∩_∩)O
作者: wqjidibingkewq     时间: 2010-2-19 18:35
我知道、说你也不服。。
现在你打开迅雷官方网站下载最新的版本。
我日。。看看是不是会出现那个帖子里的情况。。。
我用事实说话。。。
你安装过程看看是不是微点会报,,,
你别在这忽悠新手了。我们虽然不明白技术性的东西
但是,基本的识别能力还是有的。。
不服你试试。。。
如果你安装新版本迅雷,微点报,你把图发上来。。
作者: OKSD     时间: 2010-2-19 18:36
现在的软件加入的弹窗广告还有DLL文件硬播广告,他和后门病毒是一个协议的。

微点属于行为分析,当然会拦截的。
作者: wqjidibingkewq     时间: 2010-2-19 18:38
你漂白吧。。。
不会分析软件很丢人吗??
都说微点论坛有很多热心的高手。。。
你????
滚开点吧。。
没见过这样的人才。。
不会还不让上来问。。。问了就说你白。。
再说了。。我问你了???
作者: 五星红旗     时间: 2010-2-19 18:39


  Quote:
Originally posted by wqjidibingkewq at 2010-2-19 18:38:
你漂白吧。。。
不会分析软件很丢人吗??
都说微点论坛有很多热心的高手。。。
你????
滚开点吧。。
没见过这样的人才。。
不会还不让上来问。。。问了就说你白。。
再说了。。我问你了???

编程都不懂你有资格说话吗? 软件行为你都不会分析~  丢人

:D

:D
作者: 五星红旗     时间: 2010-2-19 18:40
楼主懂编程在吹吧,  看2楼的分析吧,你真的以为现在的软件没有病毒行为吗?




编程都不懂你有资格说话吗? 软件行为你都不会分析~  丢人

:D

:D
作者: OKSD     时间: 2010-2-19 18:43
[分析] 搜狗浏览器点击360弹窗 微点拦截未知间谍


搜狗浏览器修改360安全卫士默认浏览器修改拦截弹框判断结果被微点报为木马
作者:ooxxvsxxoo    2009-12-18 13:50

使用搜狗拼音的时候提示下载安装搜狗浏览器, 一时好奇, 装一个呗.

装完后机器上的微点报有木马, 仔细一看报的是搜狗浏览器主进程生成的一个tmp文件.



这是咋回事情呢? 自己的机器一直很干净, 不可能被感染啊...

IDA此TMP...



嗯 call sub_4011C3, 点进去看看.

if ( SHGetFolderPathW(0, 38, 0, 0, &String2) )
    lstrcpyW(&String2, L"C:\\Program Files");
lstrcpyW(&Data, &String2);
lstrcatW(&Data, L"\\360\\360se3\\360SE.exe");
hKey = 0;
if ( !RegOpenKeyW(HKEY_CLASSES_ROOT, L"Applications\\360SE.exe\\shell\\open\\command", &hKey) )
{
    cbData = 260;
    RegQueryValueExW(hKey, 0, 0, 0, (BYTE *)&Data, &cbData);
}
lstrcpyW(&String1, &String2);
lstrcatW(&String1, L"\\Internet Explorer\\iexplore.exe");
v13 = &String1;
v14 = L"notepad.exe";
v15 = L"calc.exe";
v16 = L"cmd.exe";
v17 = L"regedit.exe";
v18 = L"ctfmon.exe";
v19 = L"osk.exe";
v20 = L"explorer.exe";
v21 = &Data;
v2 = 0;
do
{
    wsprintfW(&CommandLine, L"\"%s\"", (&v14)[2 * v2]);
    v4 = 68;
    v3 = &StartupInfo;
    do
    {
      LOBYTE(v3->cb) = 0;
      v3 = (struct _STARTUPINFOW *)((char *)v3 + 1);
      --v4;
    }
    while ( v4 );
    StartupInfo.cb = 68;
    v6 = 16;
    v5 = &ProcessInformation;
    do
    {
      LOBYTE(v5->hProcess) = 0;
      v5 = (struct _PROCESS_INFORMATION *)((char *)v5 + 1);
      --v6;
    }
    while ( v6 );
    result = CreateProcessW(0, &CommandLine, 0, 0, 0, 0x8000004u, 0, 0, &StartupInfo, &ProcessInformation);
    if ( result )
    {
      result = sub_401000(ProcessInformation.hProcess, ProcessInformation.hThread, lpBuffer, a2);
      if ( (_BYTE)result )
        return result;
      result = TerminateProcess(ProcessInformation.hProcess, 0);
    }
    ++v2;
}
while ( v2 < 9 );
return result;
}

哈哈 强大的F5啊.

原来搜狗和360开战了, 判断下有没有\\360\\360se3\\360SE.exe 360安全浏览器.

如果有的话就调用这些系统进程.

v14 = L"notepad.exe";
v15 = L"calc.exe";
v16 = L"cmd.exe";
v17 = L"regedit.exe";
v18 = L"ctfmon.exe";
v19 = L"osk.exe";
v20 = L"explorer.exe";

然后

if ( NumberOfBytesWritten == 12
    && (WriteProcessMemory(v9, lpStartAddress, dword_403010, 0x40u, &NumberOfBytesWritten), NumberOfBytesWritten == 64)
    && (WriteProcessMemory(v9, v16, lpBuffer, v5, &NumberOfBytesWritten), NumberOfBytesWritten == v5)
    && (v10 = (DWORD)lpStartAddress, CreateRemoteThread(v9, 0, 0, lpStartAddress, 0, 0, 0)) )
{
    Context.ContextFlags = 65599;
    if ( GetThreadContext(hThread, &Context) )
    {
      Context.Eip = v10;
      SetThreadContext(hThread, &Context);
      ResumeThread(hThread);
    }
    result = 1;
}

嗯 GetThreadContext WriteProcessMemory 猥琐流 改变notepad.exe等的程序执行, 怪不得会被微点报木马了.

v29 = GetProcAddress(v13, "SendInput");

搜狗费了这么大的劲来改变notepad.exe的执行顺序, 想干嘛呢?

功力不够, 看不出来了 还是试试看吧.

不懈努力下, 终于搞明白了.

注意图中的红圈, 那是鼠标点击动作.

《搜狗浏览器点击360弹窗》 视频:http://www.tudou.com/programs/view/iD9jtUfeLTs

原来搜狗在用Sendinput点击卫士的默认浏览器修改弹窗.

唉... 有这精力干点啥不好, 非得去攻击别人的软件, 得 被微点报木马了吧.

赶紧卸载先了...

tmp 文件下载地址, 有兴趣的牛人们可以自己看看, 很好玩.

hXXp://www.fileupyours.com/view/269795/xx.zip
(文件链接现已失效)


最近读者: 360_aijevol  360_MJ0011
作者: OKSD     时间: 2010-2-19 18:45
认为有的软件没病毒?或者说病毒行为?

记得原来很多人说微点误报暴风影音(提示后门程序)

最后得知暴风影音在没有通知用户的情况下自动加入广告程序,(这已经是病毒行为了)加入广告就属于后门的......

暴风影音的后门广告【你可以百度一下的】

【百度搜索暴风影音后门】上次暴风为什么被黑了?不就因为这个后门广告吗

微点提示暴风影音有后门程序(微点是行为分析)特征码的杀毒软件不会提示的

但想说的是,暴风很流氓................

上次微点提示皮皮播放器间谍程序,最后使用HIPS运行监测之后发现

皮皮播放器自动后台加入DLL广告程序,本身不通知用户后台自己加入

本身就是一种病毒行为和病毒已经没有两样了。




现在的程序越来越不老实了,搞的都很像病毒

而且误报什么软件都有的,是不可避免的

如果一个软件查杀率很低我相信他的误报当然也很低的

比如,卡巴 小红伞刚进入国内的时候误报也是很严重的,总要有时间适应和解决的

瑞星误杀微软补丁,查杀用户邮件

百度搜索瑞星误杀门。
作者: OKSD     时间: 2010-2-19 18:45
哇嘎后台加入DLL广告,已经很明显的病毒行为了






这个就是那个加入的广告,还有一个是弹出广告。




本身不通知用户后台自己加入

本身就是一种病毒行为和病毒已经没有两样了。
作者: OKSD     时间: 2010-2-19 18:46










选了取消,并不是用系统关联浏览器打开,而是让你选择浏览器


第一次使用连这个可推荐浏览器都没有。。。

下次再双击,还会提示要不要装迅雷看看,一直要到你装了迅雷看看,才会出现原来版本迅雷那种使用系统自带播放器!


一旦装上迅雷,就有迅雷的流氓插件不受用户控制的自行把电脑上的资料以P2P的方式传递(即使你的迅雷没有开启)。由于这个过程在后台运行,用户通常发现不了。浪费大量的PC资源
  如果是按流量计费的用户,这些流量不知要让他们损失多少银子
  更可恶的是用户的隐私安全将不副存在


最新的迅雷看看实在太流氓了吧,我根本不想下载看看,只想用我的播放器看!

而我在最新版的迅雷上双击视频,只会提示我要下载最新版本迅雷看看,然后如果点取消进入的竟然是选择播放器???哈。。我默认播放器就是KMPLAYER,而且我之前用迅雷都是KMPLAYER播放,你们怎么还那么搞笑的让别人选呢?要是菜鸟根本都不知道怎么选,而且如果选取消,下次双击还是要你按看看播放器,你个好好的迅雷不就成流氓软件了吗?




今天用讯雷下载了一首MP3,本想双击打开,用完美解码播放.
可是却出现一个提示"讯雷看看播放器更新提示",
本来,这样做是个好的举措.方便没有安装播放器的人自动安装一个播放器.
可是迅雷做法却是非常流氓的.



大家看上面的图,如果点了"确定",那么迅雷就马上安装,如果不点"确定",点击上面的"X"关闭提示.
那么下次,它还会提示.
您说了, 那不是有个选项"以后不再提示"嘛.把它选上不就行了吗?
不好意思, 那个选项只针对"确定"按钮的,也就是说,你必须点了"确定"那个选项才管用.
呵呵,就是安装了它的播放器之后,才管用.
你都安装上了,它当然不提示了.
迅雷的行径越来越流氓.

希望大家使用迅雷去广告版,已经去掉这些流氓行为了。
作者: OKSD     时间: 2010-2-19 18:46
楼主你自己不懂好好学习去吧,别出来丢人了。
作者: wqjidibingkewq     时间: 2010-2-19 18:56
顶你们这些所谓的高手。。
我刚刚和微点QQ问过了,不懂编程。和软件分析也可以来问的
你懂的别人不懂的就说别人是小白。丢人什么的。。
敢问你们什么都懂??
再说了。。想讨论就讨论。不想没人要你说。。
别动、不动就小白的。丢不丢人的。
别忘了你们刚来的时候。也是从小白过来的。。。
作者: littlefritz     时间: 2010-2-19 19:09


  Quote:
Originally posted by wqjidibingkewq at 2010-2-19 18:56:
顶你们这些所谓的高手。。
我刚刚和微点QQ问过了,不懂编程。和软件分析也可以来问的
你懂的别人不懂的就说别人是小白。丢人什么的。。
敢问你们什么都懂??
再说了。。想讨论就讨论。不想没人要你说。。
别 ...

微点欢迎用户提出任何意见和建议!
作者: f8312519     时间: 2010-2-20 01:23
如果楼主确定是官网下载的.那就是误报了. 建议先添加用加信然后上报.
作者: 饭桶小白     时间: 2010-2-20 07:38
希望大家注意点用语........会员的发言虽然不能代表微点官方,但是普通 用户看到了会对微点产生厌恶感!如果人家什么都懂,就不用来这里问问题啦!
别人有问题,知道解决方法就要诚心解决,而不是一出口就说人家小白,是托==。他们不懂微点的原理、微点的使用方法,可以理解,但是我们可以告诉他!
如果他们不相信微点所报的病毒,我们可以告诉他是不是误报、漏报或者这是真的病毒木马~

希望大家语气不要那么偏激,不是每个人都是高手,不懂很正常的,老师就教导我们,不懂就要问,如果作为老师的你们,对提问题的同学开口就骂别人笨,还会有谁会提问题呢!这可不是好现象!
作者: 世间小迷途     时间: 2010-2-20 07:55
可能是链接有问题,这种问题不好说,各种原因都有,让微点的高手反汇一下看看吧。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn