瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 自动安装金山毒霸、风行、ppstream、UUsee等软件!

123456   2  /  6  页   跳转

自动安装金山毒霸、风行、ppstream、UUsee等软件!

收藏
本主题由 大版主 networkedition 于 2012-2-23 13:46:04 执行 移动主题 操作
远山的云
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2009-02-07
  • 来自:
发表于: 2009-02-07 13:23 | 只看楼主 短消息 资料
字号: 11楼

回复:自动安装金山毒霸、风行、ppstream、UUsee等软件!

我用3楼给的软件试了下,进程项中没了,再重启看看
gototop
 
天月来了
头像
版主
  • 帖子:76900
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-02-07 13:42 | 短消息 资料
字号: 12楼

回复 10F 超级游戏迷 的帖子

你没注意吧???

那日志显示

进程里C:\Downloads\tmp_48044.exe运行着呢
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-02-07 13:46 | 短消息 资料
字号: 13楼

回复: 自动安装金山毒霸、风行、ppstream、UUsee等软件!



引用:
原帖由 天月来了 于 2009-2-7 13:42:00 发表
你没注意吧???

那日志显示

进程里C:\Downloads\tmp_48044.exe运行着呢
看到了,但这个文件怎么进入计算机的是重点。

我怀疑可能是一个DLL文件调用IE自动下载安装程序,然后关联一个批处理文件调用安装程序自动安装……

不过看了日志后,没有发现类似的东西,很郁闷……
最后编辑超级游戏迷 最后编辑于 2009-02-07 14:12:30
打酱油的……
gototop
 
aryda
头像
强壮不惑狮
  • 帖子:667
  • 注册: 2006-12-29
  • 来自:
发表于: 2009-02-07 14:05 | 短消息 资料
字号: 14楼

回复:自动安装金山毒霸、风行、ppstream、UUsee等软件!

晕..第一次见微软的假签名项..绝对不正常了..
PID: 5396][C:\Downloads\update_client_19970.exe]  [Microsoft Corporation, 1, 0, 1, 690]

ps:怎么感觉发贴像打架一样..压力太大了..
最后编辑aryda 最后编辑于 2009-02-07 14:22:12
gototop
 
天月来了
头像
版主
  • 帖子:76900
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-02-07 14:11 | 短消息 资料
字号: 15楼

回复 13F 超级游戏迷 的帖子

很可能

但是也可能是利用他系统内什么下载器的漏洞自动下载的
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2009-02-07 14:44 | 短消息 资料
字号: 16楼

回复:自动安装金山毒霸、风行、ppstream、UUsee等软件!

看看这个程序会安装什么:

00014B3C  00415D3C      0  Programs
00014B48  00415D48      0  %s\%s\%s.lnk
00014B70  00415D70      0  Desktop
00014B78  00415D78      0  %s\%s.lnk

File pos  Mem pos      ID  Text
========  =======      ==  ====

00014B98  00415D98      0  %s\bin\
00014BA0  00415DA0      0  QQ2009
00014BCC  00415DCC      0  Serv-U/IE
00014BE0  00415DE0      0  C:\Program Files\Internet Explorer\
00014C14  00415E14      0  %s\start\
00014C88  00415E88      0  %.X%.X
00014C90  00415E90      0  CLIENT
00014C98  00415E98      0  Windows.exe
00014CA4  00415EA4      0  D:\%s
00014CAC  00415EAC      0  www.woxask.cn
00014CBC  00415EBC      0  C:\Downloads
00014CCC  00415ECC      0  C:\Downloads\tmp_%d.exe
00014CE4  00415EE4      0  C:/boot.dat
00014D3C  00415F3C      0  C:/TDownland/ms_avp_update.exe
00014D6C  00415F6C      0  Button
00014D74  00415F74      0  update
00014D88  00415F88      0  .......
00014D90  00415F90      0  winlogin_ok
00014D9C  00415F9C      0  xp_avp_guard
00014DAC  00415FAC      0  Run Command
00014DB8  00415FB8      0  bad allocation
00014DC8  00415FC8      0  Install
00014DD8  00415FD8      0  C:\Program Files\Funshion Online\Funshion\Funshion.exe
00014E10  00416010      0  %sDocuments and Settings
00014E4C  0041604C      0  %s\%s\
00014EA4  004160A4      0  UUSee
00014ED0  004160D0      0  UUSee
00014EF0  004160F0      0    2009.lnk
00014F04  00416104      0    2009.lnk
00014F18  00416118      0    2009.lnk
00014F30  00416130      0    2009.lnk
00014F40  00416140      0  %s\%s\Application Data\Microsoft\Internet Explorer\Quick Launch\%s
00014F8C  0041618C      0  2009.lnk
00014FA4  004161A4      0  C://Program Files/KWMUSIC/KwMusic.exe
00014FD0  004161D0      0  http://play.koowo.com/play/st/Play?srid=MUSIC_377425&mrid=MV_63949&ssig1=2495529862&ssig2=597970983&t=s&n=
00015058  00416258      0  http://play.koowo.com/play/st/Play?srid=MUSIC_121182&mrid=MV_72633&ssig1=4072298341&ssig2=2271078239&t=s&n=
000150CB  004162CB      0  &r=Carpenters(
000150F2  004162F2      0    2007 Beta 6
00015100  00416300      0  C://Zcom/E-Space.exe
00015118  00416318      0  UUSEE
00015128  00416328      0  C://Program Files/uusee/UUSeePlayer.exe
00015150  00416350      0  UUSee
00015170  00416370      0  C://Program Files/PPLiveVA/PPLiveVA.exe
000151A8  004163A8      0  C://Program Files/Kingsoft/Kingsoft Internet Security/kpfw32.exe
000151F8  004163F8      0  C://Program Files/PPStream/PPStream.exe
00015220  00416420      0  pps://3ogxoeoqeb3qcyby2aqa.pps/
00015247  00416447      0  .rmvb
00015250  00416450      0  pps://o4awai6qedndyisp2aqa.pps/
00015286  00416486      0  .rmvb
0001529C  0041649C      0  C://Program Files/Funshion Online/Funshion/Funshion.exe
000152D8  004164D8      0  fsp://7cf1d3ab9745f0f0d8ff939d7991d96a40b83a60|auto=4|c=shy,-,-|m=63824|torrent=http://www.btstream.org/torrents/2008-03-07/5372255_1204858804_213.torrent
00015378  00416578      0  fsp://17c998372828b8f7aef37e6521d0956431efae18|auto=4|c=shy,-,-|m=35137|torrent=http://www.btstream.org/torrents/2008-06-27/4629932_1214550164_898.torrent
00015414  00416614      0  InitConfigFile
00015424  00416624      0  C:\boot.dat
00015438  00416638      0  Init Over
00015444  00416644      0  C:\\boot.dat
00015470  00416670      0  Funshion
0001547C  0041667C      0  Kill Process!
0001548C  0041668C      0  Down Soft Ready
0001549C  0041669C      0  Setup Soft Ready

File pos  Mem pos      ID  Text
========  =======      ==  ====

000154C0  004166C0      0  Zcom
000154CF  004166CF      0    2008 Bata6
000154E0  004166E0      0  UUSee
000154EE  004166EE      0    2008
000154FC  004166FC      0  (0.2.17.0077)(
00015520  00416720      0    2009
00015530  00416730      0  PPS v2.6.85.7020 Final
00015550  00416750      0  Funshion 1.5.1.10 Beta
00015570  00416770      0  Setup Soft Finished
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-02-07 14:53 | 短消息 资料
字号: 17楼

回复: 自动安装金山毒霸、风行、ppstream、UUsee等软件!



引用:
00014DC8  00415FC8      0  Install
00014DD8  00415FD8      0  C:\Program Files\Funshion Online\Funshion\Funshion.exe
00014E10  00416010      0  %sDocuments and Settings
00014E4C  0041604C      0  %s\%s\
00014EA4  004160A4      0  UUSee
00014ED0  004160D0      0  UUSee

00014FA4  004161A4      0  C://Program Files/KWMUSIC/KwMusic.exe
…………………………
00015118  00416318      0  UUSEE
00015128  00416328      0  C://Program Files/uusee/UUSeePlayer.exe
00015150  00416350      0  UUSee
00015170  00416370      0  C://Program Files/PPLiveVA/PPLiveVA.exe
000151A8  004163A8      0  C://Program Files/Kingsoft/Kingsoft Internet Security/kpfw32.exe
000151F8  004163F8      0  C://Program Files/PPStream/PPStream.exe
不懂代码,不过勉强看懂一点:貌似程序运行会自动安装酷我音乐盒、金山网镖、PPLIVE、PPSTREAM、UUSEE等应用程序(C:\Program Files\Funshion Online\Funshion\Funshion.exe是啥不清楚)。

问题是这个C:\Downloads\tmp_48044.exe文件怎么到计算机里的?楼上可否指点一二?

难道跟 Windows.exe这个病毒后台连接www.woxask.cn下载安装相关应用程序有关?
最后编辑超级游戏迷 最后编辑于 2009-02-07 14:59:59
打酱油的……
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2009-02-07 14:57 | 短消息 资料
字号: 18楼

回复:自动安装金山毒霸、风行、ppstream、UUsee等软件!

和你一样,也只能猜猜那些代码
实机运行了一下,发现IE快捷方式被改了,指向IEXPLOER.EXE,而不是IEXPLORE.EXE
最后编辑超级游戏迷 最后编辑于 2009-02-07 15:04:32
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-02-07 14:59 | 短消息 资料
字号: 19楼

回复: 自动安装金山毒霸、风行、ppstream、UUsee等软件!



引用:
原帖由 byxxdrls 于 2009-2-7 14:57:00 发表
IE被替换了。


说到点子上了

不过,貌似不是替换掉正常的IE,而是玩儿“狸猫换太子”的把戏。



但有一个问题不解:下面图中红框标出的目录及文件找不到(用IceSword也看不到),但Tiny的活动日志确实提示此目录及文件创建了。

最后编辑baohe 最后编辑于 2009-02-07 15:11:34
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-02-07 15:02 | 短消息 资料
字号: 20楼

回复: 自动安装金山毒霸、风行、ppstream、UUsee等软件!



引用:
原帖由 byxxdrls 于 2009-2-7 14:57:00 发表
和你一样,也只能猜猜那些代码
实机运行了一下,发现IE快捷方式被改了,指向IEXPLOER.EXE,而不是IEXPLORE.EXE。
00014BE0  00415DE0      0  C:\Program Files\Internet Explorer\
00014C14  00415E14      0  %s\start\
…………………………………………
00014F40  00416140      0  %s\%s\Application Data\Microsoft\Internet Explorer\Quick Launch\%s
00014F8C  0041618C      0  2009.lnk


IE主进程被篡改了快捷方式么?
最后编辑超级游戏迷 最后编辑于 2009-02-07 15:08:26
打酱油的……
gototop
 
<<上一主题|下一主题>>
123456   2  /  6  页   跳转
页面顶部
Powered by Discuz!NT