日记:2010年1月8日
方维团购系统V2.14
忙啊忙,好容易算是把很多大事都尘埃落定了,哎。心中感慨无限啊。。。每当听到或想起Beyond的《真的爱你》,就想起慈爱的父亲。杯具得很。
昨天帮家里一个亲戚远程杀电脑病毒,是一个锁定IE首页的毒,并发的还有很多乱七八糟的木马。呵呵。用360杀毒和360安全卫士的木马扫描三下两下就都杀光了。不过最有意思的是,桌面上的IE浏览器图标始终是个文件夹的图标,右键点来看,弹出的菜单跟普通桌面上的IE图标相似,只是没有“属性”选项。而且选择删除还删不掉。不用说肯定是木马弄的了。于是使用桌面图标清理功能删除掉这两个图标。但原本正常的IE浏览器图标总是无法恢复。
用360修复IE和锁定主页均无效,直接运行Iexplorer.exe都会跳转到被木马绑定的一个导航网站页面,之前杀光病毒以后,360的体检已经是100分了,而且360杀毒也找不到其他木马了。
由此推测锁定浏览器桌面图标和浏览器首页的木马程序有可能是做了免杀处理的而且隐蔽的比较好。
打开偶的木马查杀工具,发现 Explorer.exe 进程被挂了两个可疑的DLL文件,都是在Windows目录下的Kingsoftxxx目录里,打开这个文件夹一看,我考,居然是金山网盾。。。用木马查杀工具结束掉金山网盾的系统进程,然后卸载并删除它挂在Explorer.exe里的两个DLL文件之后,桌面上的正常IE图标重新出现了。重设浏览器默认首页以后,打开IE也不会再访问那个垃圾导航站的首页了。至此成功恢复系统。
总结:现在搞流氓插件的人真的是越来越聪明了呢,居然会想到用木马外加金山网盾来实现罪恶的目的…… 锁定浏览器的默认首页就用金山网盾,难怪杀毒软件也报告一切正常,而且让金山网盾主程序不在系统托盘出现,只差隐藏它的进程了。然后把事先配置修改好的网盾和木马捆绑在一起,一旦执行成功,就能达到多种目的,实在是够狠啊。只可惜在杀毒过程中偶手脚比较麻利,把病毒三下两下就给都删掉了。忘记备份一份研究研究,都还不知道它用的这个金山网盾是否有做自定义的修改,把反黑软件倒过来利用作为流氓插件,实在是有一套。。。。呵呵。
********************************** 2010年5月24日后记 **********************************
今天看新闻,发现了360已经开始和金山开始打口水仗了,不过说真的,虽然金山公司也有很多优秀的软件,但金山网盾真的是垃圾,看了360的声明,有下面这么一段,和我开始写这篇日志遇到的问题如出一辙。这个就真的是用事实说话了。居然会被木马利用来锁定浏览器首页,感觉很无语。。。这样的垃圾“安全软件”不要也罢了。
昨天帮家里一个亲戚远程杀电脑病毒,是一个锁定IE首页的毒,并发的还有很多乱七八糟的木马。呵呵。用360杀毒和360安全卫士的木马扫描三下两下就都杀光了。不过最有意思的是,桌面上的IE浏览器图标始终是个文件夹的图标,右键点来看,弹出的菜单跟普通桌面上的IE图标相似,只是没有“属性”选项。而且选择删除还删不掉。不用说肯定是木马弄的了。于是使用桌面图标清理功能删除掉这两个图标。但原本正常的IE浏览器图标总是无法恢复。
用360修复IE和锁定主页均无效,直接运行Iexplorer.exe都会跳转到被木马绑定的一个导航网站页面,之前杀光病毒以后,360的体检已经是100分了,而且360杀毒也找不到其他木马了。
由此推测锁定浏览器桌面图标和浏览器首页的木马程序有可能是做了免杀处理的而且隐蔽的比较好。
打开偶的木马查杀工具,发现 Explorer.exe 进程被挂了两个可疑的DLL文件,都是在Windows目录下的Kingsoftxxx目录里,打开这个文件夹一看,我考,居然是金山网盾。。。用木马查杀工具结束掉金山网盾的系统进程,然后卸载并删除它挂在Explorer.exe里的两个DLL文件之后,桌面上的正常IE图标重新出现了。重设浏览器默认首页以后,打开IE也不会再访问那个垃圾导航站的首页了。至此成功恢复系统。
总结:现在搞流氓插件的人真的是越来越聪明了呢,居然会想到用木马外加金山网盾来实现罪恶的目的…… 锁定浏览器的默认首页就用金山网盾,难怪杀毒软件也报告一切正常,而且让金山网盾主程序不在系统托盘出现,只差隐藏它的进程了。然后把事先配置修改好的网盾和木马捆绑在一起,一旦执行成功,就能达到多种目的,实在是够狠啊。只可惜在杀毒过程中偶手脚比较麻利,把病毒三下两下就给都删掉了。忘记备份一份研究研究,都还不知道它用的这个金山网盾是否有做自定义的修改,把反黑软件倒过来利用作为流氓插件,实在是有一套。。。。呵呵。
********************************** 2010年5月24日后记 **********************************
今天看新闻,发现了360已经开始和金山开始打口水仗了,不过说真的,虽然金山公司也有很多优秀的软件,但金山网盾真的是垃圾,看了360的声明,有下面这么一段,和我开始写这篇日志遇到的问题如出一辙。这个就真的是用事实说话了。居然会被木马利用来锁定浏览器首页,感觉很无语。。。这样的垃圾“安全软件”不要也罢了。
引用
二、金山网盾存在高危漏洞,被木马利用来劫持用户的浏览器首页。安全软件沦为木马加载器,成为木马逃避杀毒软件查杀的“保护伞”,这在安全行业历史上还是第一次。由于问题严重到无法掩盖,连金山公司自己都不得不发布公告,承认金山网盾被木马利用(参见《金山公司关于“如何清除盗版金山网盾”的公告》),但仅仅是给出一个“系统急救”的方案,漏洞本身至今仍没有得到修复,目前仍在威胁着许多网民(包括非金山用户)的安全。出于对公众安全的考虑,360在此不公布该漏洞的细节,但是如果金山公司继续视公众安危为无物,坚持否认或放任该漏洞的存在,360将在必要时公布相关证据。
查阅相关媒体报道:金山网盾漏洞遭利用 安全软件成了“木马加载器”
查阅相关媒体报道:金山网盾漏洞遭利用 安全软件成了“木马加载器”
TCDGFW Says: 
2010/05/03 21:59
分页: 1/1 
1 
1
