Board logo

标题: 明白了:DuDU何以绕过“安全浏览”机制 [打印本页]

作者: yggcwx    时间: 2005-6-1 12:07     标题: 明白了:DuDU何以绕过“安全浏览”机制

  前些天被强制安装了DuDU加速器,曾发一帖,参见:http://forum.ioage.com/forum/cn/ ... ghlight=&page=1
   反复想了想,终于有所醒悟,各位看是不是:
  我们知道,某些程序的安装包分完整安装包和离线安装包两种,最新版DuDu虽然最终安装的是一个ActiveX插件,但安装过程和方式却是采用离线安装包的程序安装形式:先偷偷在系统中写入C:\windows\temp\dddupdate.exe文件,系统联网后立即在线安装,速度奇快,神不知鬼不觉的就完成了C:\Program Files\DuDU\DDDclient的安装!它不用一般的插件安装方式,浏览器的“安全浏览”机制自然无效。按常规,这是杀软和防火墙的任务。但在,瑞星、江民甚至upiea却又根本不把dudu当病毒!
  更麻烦的是:一旦安装,虽然可以在“添加删除程序”中删除其主程序,但无论你怎样删除(即使在安全模式下,即使删除了相应的注册表键值),C:\windows\temp\dddupdate.exe和C:\Program Files\DuDu\DDDClient\dddspocx.dll这两个文件都会在系统重启后“复活”。
  哪位有办法帮我彻底删了dudu?在下先谢过了。

作者: 沙鲸    时间: 2005-6-1 13:54

DDD会在计划任务里建立任务,所以,,,,

具体可以看我的这篇日志:
http://blog.iselong.com/blog/more.asp?name=cetus&id=1266
作者: phoenix    时间: 2005-6-1 14:54

Originally posted by yggcwx at 2005-6-1 12:07 PM:
  前些天被强制安装了DuDU加速器,曾发一帖,参见:http://forum.ioage.com/forum/cn/ ... ghlight=&page=1
   反复想了想,终于有所醒悟, ...


如果你的系统是windows xp sp2,那么这种事情是不可能发生的

如果你是为了帮助别人,那么你的心意我想大家都领会了,但是如果你不是专业人士,并不确定这样,请尽量不要发这类的帖子,这会误导别人
建议你去金山论坛、或者瑞星论坛,那里好多专业安全人士,可以给你明白的答案,也免得猜来猜去的

"...先偷偷在系统中写入C:\windows\temp\dddupdate.exe文件..."
如果能偷偷的写人一个执行程序并执行,那么干脆都用这种方式好了,还自动升级什么,早期存在的一些漏洞,在sp2面前都没有办法了,当然,如果你不是xp sp2,建议升级到xp sp2或者安装防火墙,如Norton

你的Dudu一定是装别的软件的时候捆绑进来的,这也是江民、瑞星公司的人不方便把它列为恶意程序的原因之一,如果它利用网页漏洞写人本地,那么这个行为足够被作为恶意程序处理的了

具体看这个http://wconsole.softreg.com.cn/aum/spreads_20050526_plugins.asp
作者: yggcwx    时间: 2005-6-1 21:21

Originally posted by phoenix at 2005-6-1 14:54:


如果你的系统是windows xp sp2,那么这种事情是不可能发生的

如果你是为了帮助别人,那么你的心意我想大家都领会了,但是如果你不是专业人士,并不确定这样,请尽量不要发这类的帖子,这会误导别人
建议 ...

  phoenix,你太武断了!以老经验判断新情况,只能越来越以错误为真理。我也只是说“各位看是不是”,从未说我的判断绝对正确。“误导”?凭一句“各位看是不是”,我能误导谁?
  看看沙鲸在这里的讨论:http://blog.iselong.com/blog/more.asp?name=cetus&id=1266,注意沙鲸的这句话“我可是从来没有下载过任何与DUDU有关系的软件!”偶中着的日子在
http://forum.ioage.com/forum/cn/ ... ghlight=&page=1里已经写明。此前一个月至今就没有安装过任何新软件!经常更新的倒是TW。
  唯一的可能就是浏览网页时中着。dudu已经成为超级dudu,忽视这一点,才是对大家真正的误导。

  系统:XP SP1 不知沙鲸是什么系统。SP2就不会中着,它有那么好吗?不大可能吧。
  如果不能”偷偷的写人一个执行程序并执行“,那么哪来那么多的病毒、木马???


[ Last edited by yggcwx on 2005-6-1 at 09:34 PM ]
作者: user010    时间: 2005-6-1 23:57

Originally posted by yggcwx at 2005-6-1 21:21:

  phoenix,你太武断了!以老经验判断新情况,只能越来越以错误为真理。我也只是说“各位看是不是”,从未说我的判断绝对正确。“误导”?凭一句“各位看是不是”,我能误导谁?
   ...


SP2在SP1的基础上对系统做了较大的改进,安全性也提高了很多,有一套相对完善的安防体系。最主要的是修复了SP1以后的很多漏洞。而且在SP2后又有很多更新。单说修复漏洞这一块SP2就比SP1要安全的多。

所以装了SP2的系统要比SP1安全的多。
作者: mutalisker    时间: 2005-6-2 02:28

操作系统的有很多漏洞,并且还在不断发现新的漏洞,利用一些漏洞,是有可能在没有权限的时候在你的机器上执行程序的,比如冲击波和前一阵闹得很火的GDI+的漏洞。我们能做的只是经常做windowsupdate,微软的补丁打的是很快的。

至于DUDU加速器,它的推广方式应该主要是捆绑,具体坤办的软件我也不知道有什么,但是很可能你下载的游戏破解或者什么软件中就捆绑了dudu加速器。
作者: blog168    时间: 2005-6-2 07:35

yggcwx兄,偶一个月前中过这玩意,不过偶觉得一点不伤人,没新浪的那个iGame厉害,哈哈~~
偶当时是安装的EastTV。
请根据图,说明一下你电脑中的Ddd的运行位置,我们才好对症下药。
作者: blog168    时间: 2005-6-2 07:38

不过这个东东还挺变态的,还按照偶的作息时间来安排计划任务
偶当时是把EastTV完全删了才让它无法启动的,这跟装没装SP2毫无关系

[ Last edited by blog168 on 2005-6-2 at 07:44 AM ]
作者: 沙鲸    时间: 2005-6-2 10:10

帖子转型鸟~大家回归TW的正题吧。
作者: blog168    时间: 2005-6-2 10:26

沙鲸你后来搞清楚sr_wjkc.exe是从哪来的了吗?
如果你还保留着sr_wjkc.exe的话,能否传上来,偶像研究下。

[ Last edited by blog168 on 2005-6-2 at 10:28 AM ]
作者: yggcwx    时间: 2005-6-2 12:10

Originally posted by blog168 at 2005-6-2 07:38:
不过这个东东还挺变态的,还按照偶的作息时间来安排计划任务
偶当时是把EastTV完全删了才让它无法启动的,这跟装没装SP2毫无关系

[ Last edited by blog168 on 2005-6-2 at 07:44 AM ]

  确实跟SP2毫无关系。另外,俺绝不相信这次是软件捆绑造成的:如上所述,好长时间根本就没装过什么软件啦!--是网页浏览时中的着!!
  多谢blog168兄,偶已根据沙老大的指点,把dudu彻底删除啦!办法:
  1.删计划任务;
  2.删主程序;
  3.删残留文件;
  4.删注册表。
  希望更多的朋友知道。不过,删计划任务时确实没留意它的路径是否与哪个软件捆绑,呵呵。
  新浪的那个把系统都文件都捆绑了,更孙子!


[ Last edited by yggcwx on 2005-6-2 at 12:12 PM ]
作者: phoenix    时间: 2005-6-2 13:03

请不要在论坛随便攻击业内公司,包括网站等,谩骂解决不了问题

安全方面的东西以后请去金山或者瑞星的安全论坛,谢谢
作者: phoenix    时间: 2005-6-2 13:21

系统:XP SP1 不知沙鲸是什么系统。SP2就不会中着,它有那么好吗?不大可能吧。

没错,如果XP没有装防火墙,没有打SP2补丁,系统会非常不安全的,相信中了也不止一个木马了,建议你多去那些安全论坛学习一下吧,很有用的
作者: red-M    时间: 2005-6-2 15:38

upiea1.43发布了,可以免疫它啦
详见:http://www.lumix.cn/cn/cisid.htm
作者: phoenix    时间: 2005-6-2 19:25     标题: 这个软件的开发者很勤奋啊

upiea的免疫原理比较简单,只是屏蔽ActiveX控件,而且对于新出现的插件由于不知道它的GUID,所以只能是一个版本一个版本的升级上去

它的屏蔽原理,是微软预留的ActiveX控件注册表接口,在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility下建立对应的ActiveX控件的Key,并设定
Compatibility Flags=dword:00000400
这样该控件将不会被安装、执行
附件是一个reg文件,可以屏蔽百度、POPO和CNNIC, 如果你会写安装程序,做一个能自动注册它的,就和upiea的屏蔽插件功能类似了


但是对于利用网页漏洞注入恶意程序的页面,这种方法是防不住的

3721上网助手这方面做的不错,是通过Hook所有页面脚本可以调用的本地对象,如WSH, FSO,过滤其中的不常用的(而恶意程序要用到的)接口,以达到安全的目的

但是这也有缺点,就是可能损失兼容性,所以使用微软的Windows XP sp2来修复这些漏洞是最好的选择
作者: yggcwx    时间: 2005-6-2 19:42

Originally posted by phoenix at 2005-6-2 13:21:


系统:XP SP1 不知沙鲸是什么系统。SP2就不会中着,它有那么好吗?不大可能吧。

没错,就因为你没有装防火墙,没有打SP2补丁,所以你的系统是非常不安全的,相信中了也不止一个木马了,建议你多去那些安 ...

  哎,一片好心,没想到,老大把俺视为仇敌……不明白,老大对俺说话为什么总是冷嘲热讽,像“误导别人”、像“这里安全方面的水平比较低,不大适合你
”、像“你没有装防火墙,没有打SP2补丁,所以你的系统是非常不安全的,相信中了也不止一个木马了”云云。有这么多热心朋友参与讨论,难道还没有证明大家对浏览安全的关注吗???
  不过,有些话还是要说的:
  1.如果这里不能讨论与网页浏览相关的安全问题,那么请把TW的“安全浏览”功能去掉。
  dudu安装的是IE插件,既和安全有关,更和浏览有关。
  2.老大真的认为dudu、新浪修改系统文件的行为不可耻吗?对这样的无耻行径痛斥,怎能称之为“谩骂”??????
  老大认为它们是合理的话,偶们自然无话可说。
  不错,痛斥它们并不能解决问题。那么,您和它们讲理,说“请让我选择一下”、“请不要赖在我的系统里”等等就能解决问题吗?
  3.您说,“
请不要在论坛随便攻击业内公司,包括网站等,谩骂解决不了问题”。那么,请看您自己说的:
  http://forum.ioage.com/forum/cn/ ... id=1081&fpage=1
  “phoenix:网通确实混蛋”--这算不算“攻击业内公司,包括网站等”,算不算“谩骂”???
  可能咱们对对方都有些偏见啊。
  以上言论,不妥之外,敬请海涵!


  

[ Last edited by yggcwx on 2005-6-2 at 07:48 PM ]
作者: yggcwx    时间: 2005-6-2 19:55

  偶有墙
作者: yggcwx    时间: 2005-6-2 19:56

  除了上面的,还有这个
作者: yggcwx    时间: 2005-6-2 19:57

  中的东西目前只有dudu……
作者: yggcwx    时间: 2005-6-2 20:00

Originally posted by red-M at 2005-6-2 15:38:
upiea1.43发布了,可以免疫它啦
详见:http://www.lumix.cn/cn/cisid.htm

  好人真多啊!使用中……
作者: yggcwx    时间: 2005-6-2 20:01

Originally posted by phoenix at 2005-6-2 19:25:
upiea的免疫原理比较简单,只是屏蔽ActiveX控件,而且对于新出现的插件由于不知道它的GUID,所以只能是一个版本一个版本的升级上去

它的屏蔽原理,是微软预留的ActiveX控件注册表接口,在
HKEY_LOCAL_MACHIN ...

  这个注册文件sp1下可否使用?
作者: phoenix    时间: 2005-6-2 20:07

如果yggcwx你来这里是来辩论的,那么对不起,这个论坛不欢迎你,我已经把上面我回的帖子编辑了,去掉了一些措辞,但是不知道为什么,看到你的帖子我就感觉不爽,你说的对,我们肯定有误解,但我也不喜欢你这样的发帖者,我下午找你请你上MSN核实你遇到的问题的时候,你又不在线,然后每次都一二三点的长篇大论,我不怕面对哪怕一个律师去辩论,但要看我觉得是否值得,这是我在这个论坛上回复你的最后一帖

其实你的出发点不一定是错的,从你的角度许多事情也是对的,但是每个地方都有他的风格,你如果不能融入,那就请说再见吧,建议你去用Maxthon或者GreenBrowser,它们都很优秀
作者: WildWolf    时间: 2005-6-2 20:28

你们说的那个东西是怎么中的, 能给个网址吗?

我是XP SP2(盗版), 每天都更新的. 从来不用杀毒软件(慢), 防火墙只用SP2自带的那个, 默认设置, 用电脑N多年了, 就中过冲击波一个病毒.

给个网址我上去看看什么样的.
作者: yggcwx    时间: 2005-6-2 20:39

   我不是来辩论的。
  “我已经把上面我回的帖子编辑了,去掉了一些措辞”--什么措辞?隐含冷嘲热讽之措辞。
  “看到你的帖子我就感觉不爽”--?从骨子不喜欢批评是也。说错了,很多人都不喜欢批评,这是人之常情。准确的说,老大之所以不喜欢偶的东东,可以归结为8个字:宽以待己,苛以待人。比如,前些天发生了一次不愉快的论战,老大对维护自己的一方满口脏话视而不见,对反方多数理智讲道理的却批评有加。比如,TW里明明有“安全浏览”一项,别人讨论相关问题时却冷嘲热讽。比如,自己可以骂网通“混蛋”,却不许别人说dudu、新浪无耻,等等。
  “每次都一二三点的长篇大论”--你的冷嘲热讽太多,无奈也。
  看看这个帖子上的其它回复吧,我和其它朋友讨论的都很愉快!不存在不能融入的问题--你是唯一一个怪腔调说话的人。
  关于浏览器,偶从来是多个并用的,无须你讲。
  偶对你的腔调也确实烦了,这也是我在这个论坛上回复你的最后一帖。


[ Last edited by yggcwx on 2005-6-2 at 09:31 PM ]
作者: blog168    时间: 2005-6-3 03:04

偶的初衷是想帮yggcwx解决问题的,没想到最后变成这样。。。
其实这篇帖子也只是标题不适合,有那么一点误导的意思。
或许phoenix觉得yggcwx的每一条帖子都有碍观瞻,每一条反馈信息都完全没有用,
但只要phoenix明白yggcwx不是存心来找碴的就行了,何必。。。
http://forum.ioage.com/forum/cn/ ... id=1050&fpage=2
只是希望支持TW的人会越来越多,这样TW才能走的更远。
作者: wingonachi    时间: 2005-6-3 10:14

呵呵,我用mcafee,就禁止了从temp文件夹中运行任何exe文件(可以取消),因此对我无效。
作者: blog168    时间: 2005-6-3 10:31

Originally posted by wingonachi at 2005-6-3 10:14 AM:
呵呵,我用mcafee,就禁止了从temp文件夹中运行任何exe文件(可以取消),因此对我无效。

只是限制了iexplore.exe,outlook.exe,packager.exe,msn6.exe,winzip32.exe,winrar.exe对temp文件夹的访问




欢迎光临 世界之窗论坛 (http://bbs.theworld.cn./) Powered by Discuz! 7.2