Board logo

标题: [其他内容] 趋势科技阻止TheWorld3注入 [打印本页]

作者: changzheng2    时间: 2009-5-9 10:18     标题: 趋势科技阻止TheWorld3注入

出于安全的考虑,趋势科技已阻止Theworld.exe注入。
名称:动态链接注入
风险等级:高
例程名称:NtUserSetWindowsHookEx
TheWorld.exe正在尝试配置Windows以便一个动态链接库(DLL)将被您的部分或全部应用程序自动装入。如果该DLL是恶意的,此更改可能严重影响您计算机的安全性和稳定性。

请凤凰工作室就该问题与趋势科技公司联系。谢谢!
作者: xuweiuser    时间: 2009-5-9 11:08

从来不用“趋势科技”的产品,
相信也没有几个人会用到他的杀毒软件,
作者: 化外愚民    时间: 2009-5-9 11:21

也没什么的,加入它的信任名单就行了(不可能没这个功能吧)。
作者: changzheng2    时间: 2009-5-9 11:54

趋势科技并不认为theworld.exe是病毒或木马,允许它运行,唯独认为它的动态链接注入有危险,阻止了这一行为。虽然阻止了注入,但是TheWorld3还是运行得非常好,浏览网页速度还不错。(从另一个角度来说,这个注入行为岂不是没有意义了?)趋势科技的中国个人用户虽然少,但是财政部、中国工商银行、一汽大众等大客户还是很可观的。
作者: jeccci5    时间: 2009-5-9 11:58

mamutu稍好,弹窗提示,当然选择放行了
作者: himmel    时间: 2009-5-9 12:44

趋势科技并不认为theworld.exe是病毒或木马,允许它运行,唯独认为它的动态链接注入有危险,阻止了这一行为。虽然阻止了注入,但是TheWorld3还是运行得非常好,浏览网页速度还不错。(从另一个角度来说,这个注入行为 ...
changzheng2 发表于 2009-5-9 11:54 http://bbs.ioage.com/cn/images/common/back.gif

+1
2楼的那位先生说话很没有水准,且透露出足够的无知
相信这里没有用过hotmail的应该很少吧,趋势可是在几年前把hotmail的附件扫描从mcafee手里抢过来的
作者: xvlzw    时间: 2009-5-9 12:48

+1
2楼的那位先生说话很没有水准,且透露出足够的无知
相信这里没有用过hotmail的应该很少吧,趋势可是在几年前把hotmail的附件扫描从mcafee手里抢过来的
himmel 发表于 2009-5-9 12:44 http://bbs.ioage.com/cn/images/common/back.gif


N年不登陆一次的hotmail,,mcafee的强大,在于它几乎完美的监控,,至于扫描病毒,那不是它的强项。。。
作者: hblf    时间: 2009-5-9 12:52

能不能详细说说谁注入谁
作者: lakira    时间: 2009-5-9 13:21

主动防御,卡巴也有,很正常的~~~~~~~
作者: changzheng2    时间: 2009-5-9 15:17

能不能详细说说谁注入谁
hblf 发表于 2009-5-9 12:52 http://bbs.ioage.com/cn/images/common/back.gif

趋势科技显示的内容就那么多,我也说不出啥更详细的东西了。总之,注入者是TheWorld3.0.2.0里的Theworld.exe,阻止者是趋势科技,被注入到哪里我不知道,注入什么东西我也不知道。但是我知道TheWorld3.0.2.0(以前的Theworld3版本无此现象)是众多浏览器中唯一被趋势科技认为有高危行为的。
作者: keaimao1989    时间: 2009-5-9 15:19

裸奔很多年了   哈哈
作者: xvlzw    时间: 2009-5-9 15:19

趋势科技显示的内容就那么多,我也说不出啥更详细的东西了。总之,注入者是TheWorld3.0.2.0里的Theworld.exe,阻止者是趋势科技,被注入到哪里我不知道,注入什么东西我也不知道。但是我知道TheWorld3.0.2.0(以前 ...
changzheng2 发表于 2009-5-9 15:17 http://bbs.ioage.com/cn/images/common/back.gif


建议楼主检查一下md5和签名,如果没问题的话就是误报,可以忽略,无视。
作者: WeeVee    时间: 2009-5-9 15:23

可能阻止的是TW扩展,因为只有扩展是DLL。
作者: hblf    时间: 2009-5-9 16:41

还真没用过趋势,不过既然都已经告知用户发生注入了,为何又不提示清楚究竟是哪个注入到哪个呢,如果这个都不提示清楚的话,用户怎么判断究竟这个所谓的高危,对于客户的实际环境究竟是不是有危险呢,就比如ls提到的,扩展!
扯的有点远了,中心思想一句话:目前的信息无法得出究竟tw是不是有害。
作者: vip888    时间: 2009-5-9 17:39

也没什么的,加入它的信任名单就行了(不可能没这个功能吧)。
化外愚民 发表于 2009-5-9 11:21 http://bbs.ioage.com/cn/images/common/back.gif


正解……
作者: AY    时间: 2009-5-9 18:18

是勾子。

TW 自己用勾子并不出奇,但应该不用注入其他程序。
作者: changzheng2    时间: 2009-5-9 18:33

刚才在世界之窗论坛里看到了一个昨晚发的帖子
http://bbs.ioage.com/cn/thread-89776-1-2.html
《我的监控软件检测到theWorld有广告软件运行,这是怎么回事啊》
文中提到ThreatFire监控到键盘活动被Theworld记录
到现在那篇帖子还没有技术性回复

趋势科技日志显示theworld3的theworld.exe在09:48询问注入,然后在10:07这短短的一分钟内,趋势连续两次拒绝,theworld再询问,趋势再拒绝,theworld再询问,趋势再拒绝!

详细信息:
类型:API事件
检测到的资源或进程ID:NtUserSetWindowsHookEx
受感染文件:D:\Program Files\TheWorld3\TheWorld.exe
策略违例:动态链接库注入

以关键词NtUserSetWindowsHookEx API谷歌搜索,显示的结果很多都是关于键盘钩子(记录键盘活动)。消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载对应的Dll,则装载之(利用KeUserModeCallback“调用”用户例程,它与Apc调用不同,它是仿制中断返回环境,其调用是“立即”性质的)。

虽然我对这些一窍不通,但是我怀疑Theworld是不是有键盘钩子?(-.-!)
作者: JJYY    时间: 2009-5-9 19:28

这个值得关注一下下,搞明白的好!

作者: WeeVee    时间: 2009-5-9 19:49

17# changzheng2
钩子tw1、2代都有,是防木马的吧。记得开发组有说过的
作者: changzheng2    时间: 2009-5-9 20:18

刚才又在世界之窗论坛里逛了逛,才知道世界之窗浏览器的安全浏览功能,在浏览器线程中开启了全局钩子管理,其目的是防止系统中的恶意程序通过钩子来嗅探用户的键盘输入。银行网站大多使用HTTPS协议SSL加密,这个协议中的传输是经过加密的,恶意程序无法在网络通信层截获用户的账户和密码信息,而如果是做恶意程序的话,就会通过挂接钩子,截获用户正在访问的网址和在网页中输入的用户名密码,以达到盗取银行账号的目的。这个钩子管理,就是屏蔽别的程序钩子用的。我是傲游浏览器的老用户了,对世界之窗浏览器不是很了解啊。这下我放心了。给各位添麻烦了,对不起!!!
作者: 小絮    时间: 2009-5-9 20:20

嗯,楼上正解,tw是有钩子,用来防一些偷账号的木马。
作者: xvlzw    时间: 2009-5-11 14:32

发挥Trident内核的极致!其它内核这也看不了,那也听不了,光是速度快,有毛用!




欢迎光临 世界之窗论坛 (http://bbs.theworld.cn./) Powered by Discuz! 7.2