瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】澄清某些网友对“卡卡助手”的误解

12345678»   1  /  22  页   跳转

【原创】澄清某些网友对“卡卡助手”的误解

【原创】澄清某些网友对“卡卡助手”的误解

近来看到有些网友因见到卡卡助手在安装后出现的插件的现象,感到苦恼,并将其与3721之类混为一谈,在这里本人谈一谈自己的客观分析情况,供大家讨论。
首先明确一下流氓软件固有的几个特征:
1)强制弹出广告
2)逃避用户卸载
3)私下收集敏感信息
4)浏览器劫持
下面我们按照以上几点特征来逐一分析“卡卡安全助手”
最后编辑2008-02-02 22:32:58
分享到:
gototop
 

出现插件是事实,但是并未因安装“卡卡安全助手”而带来任何弹出广告

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-1 18:09:05
描述:



gototop
 

“卡卡安全助手”在安装后可以通过控制面板完全卸载,而且不留任何痕迹。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-1 18:11:39
描述:



gototop
 

以下是本人在安装完毕卸载后的结果,相关IE插件全部消失:

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      17:41:10, 日期 2005-7-1
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\工具\RISING2005\RAV\Ravmond.exe
d:\工具\rising2005\rising\rfw\rfwsrv.exe
D:\工具\RISING2005\RAV\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\QCONSVC.EXE
D:\工具\RISING2005\RAV\CCENTER.EXE
d:\工具\rising2005\rising\rfw\RfwMain.exe
D:\工具\RISING~1\RAV\RAVTIMER.EXE
D:\工具\RISING~1\RAV\RAVMON.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
D:\常用程序安装包\汉化Hijackthis\HijackThis1991汉化版\HijackThis1991zww.exe

O3 - IE工具栏增项: (no name) - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - (no file)
O4 - 启动项HKLM\\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - 启动项HKLM\\Run: [RavTimer] D:\工具\RISING~1\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\工具\RISING~1\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - 启动项HKCU\\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\工具\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\工具\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\工具\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\工具\QQ\SendMMS.htm
O8 - IE右键菜单中的新增项目: 豪杰超级解霸V8实时播放 - D:\工具\JIEBA V8\MPURLGET.HTM
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1111954544974
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D964263-1A80-4BD1-9B78-7FE2A786932C}: NameServer = 202.113.16.10
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - NT 服务: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - d:\工具\rising2005\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\工具\RISING2005\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\工具\RISING2005\RAV\Ravmond.exe

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-1 18:15:00
描述:



gototop
 

至于浏览器劫持,根本谈不上,从以上我的日志中就可看出。
至于私下收集用户敏感信息,至今为止还没有任何网友或商家拿出证据证明这点。
因此从以上“流氓软件”的基本特征分析中,我们现在完全可以认为“卡卡安全助手”不是流氓软件,而仅仅是“插件的迷惑”。
gototop
 

分析结束,欢迎大家继续讨论。

ps:此助手已于7月14日更新,增加的两个按钮可让用户自行选择是否安装.

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-7-1 18:22:15
描述:



gototop
 

有道理啊!
gototop
 

欢迎以正确的方式说明问题,谢谢楼主
gototop
 

是很有必要澄清事实,现在大家都被流氓软件搞怕了。
gototop
 

顶下..严重支持
gototop
 
12345678»   1  /  22  页   跳转
页面顶部
Powered by Discuz!NT