明白了：DuDU何以绕过“安全浏览”机制 安全浏览, DuDU, 机制

yggcwx

　　前些天被强制安装了DuDU加速器，曾发一帖，参见：http://forum.ioage.com/forum/cn/ ... ghlight=&page=1
　　　反复想了想，终于有所醒悟，各位看是不是：
　　我们知道，某些程序的安装包分完整安装包和离线安装包两种，最新版DuDu虽然最终安装的是一个ActiveX插件，但安装过程和方式却是采用离线安装包的程序安装形式：先偷偷在系统中写入C:\windows\temp\dddupdate.exe文件，系统联网后立即在线安装，速度奇快，神不知鬼不觉的就完成了C:\Program Files\DuDU\DDDclient的安装！它不用一般的插件安装方式，浏览器的“安全浏览”机制自然无效。按常规，这是杀软和防火墙的任务。但在，瑞星、江民甚至upiea却又根本不把dudu当病毒！
　　更麻烦的是：一旦安装，虽然可以在“添加删除程序”中删除其主程序，但无论你怎样删除（即使在安全模式下，即使删除了相应的注册表键值），C:\windows\temp\dddupdate.exe和C:\Program Files\DuDu\DDDClient\dddspocx.dll这两个文件都会在系统重启后“复活”。
　　哪位有办法帮我彻底删了dudu？在下先谢过了。

沙鲸

DDD会在计划任务里建立任务，所以，，，，

具体可以看我的这篇日志：
http://blog.iselong.com/blog/more.asp?name=cetus&id=1266

phoenix

Originally posted by yggcwx at 2005-6-1 12:07 PM:
　　前些天被强制安装了DuDU加速器，曾发一帖，参见：http://forum.ioage.com/forum/cn/ ... ghlight=&page=1
　　　反复想了想，终于有所醒悟， ...

如果你的系统是windows xp sp2，那么这种事情是不可能发生的

如果你是为了帮助别人，那么你的心意我想大家都领会了，但是如果你不是专业人士，并不确定这样，请尽量不要发这类的帖子，这会误导别人
建议你去金山论坛、或者瑞星论坛，那里好多专业安全人士，可以给你明白的答案，也免得猜来猜去的

"...先偷偷在系统中写入C:\windows\temp\dddupdate.exe文件..."
如果能偷偷的写人一个执行程序并执行，那么干脆都用这种方式好了，还自动升级什么，早期存在的一些漏洞，在sp2面前都没有办法了，当然，如果你不是xp sp2，建议升级到xp sp2或者安装防火墙，如Norton

你的Dudu一定是装别的软件的时候捆绑进来的，这也是江民、瑞星公司的人不方便把它列为恶意程序的原因之一，如果它利用网页漏洞写人本地，那么这个行为足够被作为恶意程序处理的了

具体看这个http://wconsole.softreg.com.cn/aum/spreads_20050526_plugins.asp

yggcwx

Originally posted by phoenix at 2005-6-1 14:54:


如果你的系统是windows xp sp2，那么这种事情是不可能发生的

如果你是为了帮助别人，那么你的心意我想大家都领会了，但是如果你不是专业人士，并不确定这样，请尽量不要发这类的帖子，这会误导别人
建议 ...

　　phoenix，你太武断了！以老经验判断新情况，只能越来越以错误为真理。我也只是说“各位看是不是”，从未说我的判断绝对正确。“误导”？凭一句“各位看是不是”，我能误导谁？
　　看看沙鲸在这里的讨论：http://blog.iselong.com/blog/more.asp?name=cetus&id=1266，注意沙鲸的这句话“我可是从来没有下载过任何与DUDU有关系的软件！”偶中着的日子在
http://forum.ioage.com/forum/cn/ ... ghlight=&page=1里已经写明。此前一个月至今就没有安装过任何新软件！经常更新的倒是TW。
　　唯一的可能就是浏览网页时中着。dudu已经成为超级dudu，忽视这一点，才是对大家真正的误导。

　　系统：XP SP1　不知沙鲸是什么系统。SP2就不会中着，它有那么好吗？不大可能吧。
　　如果不能”偷偷的写人一个执行程序并执行“，那么哪来那么多的病毒、木马？？？

[ Last edited by yggcwx on 2005-6-1 at 09:34 PM ]

user010

Originally posted by yggcwx at 2005-6-1 21:21:

　　phoenix，你太武断了！以老经验判断新情况，只能越来越以错误为真理。我也只是说“各位看是不是”，从未说我的判断绝对正确。“误导”？凭一句“各位看是不是”，我能误导谁？
　　 ...

SP2在SP1的基础上对系统做了较大的改进，安全性也提高了很多，有一套相对完善的安防体系。最主要的是修复了SP1以后的很多漏洞。而且在SP2后又有很多更新。单说修复漏洞这一块SP2就比SP1要安全的多。

所以装了SP2的系统要比SP1安全的多。

mutalisker

操作系统的有很多漏洞，并且还在不断发现新的漏洞，利用一些漏洞，是有可能在没有权限的时候在你的机器上执行程序的，比如冲击波和前一阵闹得很火的GDI+的漏洞。我们能做的只是经常做windowsupdate，微软的补丁打的是很快的。

至于DUDU加速器，它的推广方式应该主要是捆绑，具体坤办的软件我也不知道有什么，但是很可能你下载的游戏破解或者什么软件中就捆绑了dudu加速器。

blog168

yggcwx兄，偶一个月前中过这玩意，不过偶觉得一点不伤人，没新浪的那个iGame厉害，哈哈~~
偶当时是安装的EastTV。
请根据图，说明一下你电脑中的Ddd的运行位置，我们才好对症下药。

blog168

不过这个东东还挺变态的，还按照偶的作息时间来安排计划任务
偶当时是把EastTV完全删了才让它无法启动的，这跟装没装SP2毫无关系

[ Last edited by blog168 on 2005-6-2 at 07:44 AM ]

沙鲸

帖子转型鸟～大家回归TW的正题吧。

blog168

沙鲸你后来搞清楚sr_wjkc.exe是从哪来的了吗？
如果你还保留着sr_wjkc.exe的话，能否传上来，偶像研究下。

[ Last edited by blog168 on 2005-6-2 at 10:28 AM ]

yggcwx

Originally posted by blog168 at 2005-6-2 07:38:
不过这个东东还挺变态的，还按照偶的作息时间来安排计划任务
偶当时是把EastTV完全删了才让它无法启动的，这跟装没装SP2毫无关系

[ Last edited by blog168 on 2005-6-2 at 07:44 AM ]

　　确实跟SP2毫无关系。另外，俺绝不相信这次是软件捆绑造成的：如上所述，好长时间根本就没装过什么软件啦！－－是网页浏览时中的着！！
　　多谢blog168兄，偶已根据沙老大的指点，把dudu彻底删除啦！办法：
　　1.删计划任务；
　　2.删主程序；
　　3.删残留文件；
　　4.删注册表。
　　希望更多的朋友知道。不过，删计划任务时确实没留意它的路径是否与哪个软件捆绑，呵呵。
　　新浪的那个把系统都文件都捆绑了，更孙子！

[ Last edited by yggcwx on 2005-6-2 at 12:12 PM ]

phoenix

请不要在论坛随便攻击业内公司，包括网站等，谩骂解决不了问题

安全方面的东西以后请去金山或者瑞星的安全论坛，谢谢