返回列表 发帖

明白了:DuDU何以绕过“安全浏览”机制

  前些天被强制安装了DuDU加速器,曾发一帖,参见:http://forum.ioage.com/forum/cn/ ... ghlight=&page=1
   反复想了想,终于有所醒悟,各位看是不是:
  我们知道,某些程序的安装包分完整安装包和离线安装包两种,最新版DuDu虽然最终安装的是一个ActiveX插件,但安装过程和方式却是采用离线安装包的程序安装形式:先偷偷在系统中写入C:\windows\temp\dddupdate.exe文件,系统联网后立即在线安装,速度奇快,神不知鬼不觉的就完成了C:\Program Files\DuDU\DDDclient的安装!它不用一般的插件安装方式,浏览器的“安全浏览”机制自然无效。按常规,这是杀软和防火墙的任务。但在,瑞星、江民甚至upiea却又根本不把dudu当病毒!
  更麻烦的是:一旦安装,虽然可以在“添加删除程序”中删除其主程序,但无论你怎样删除(即使在安全模式下,即使删除了相应的注册表键值),C:\windows\temp\dddupdate.exe和C:\Program Files\DuDu\DDDClient\dddspocx.dll这两个文件都会在系统重启后“复活”。
  哪位有办法帮我彻底删了dudu?在下先谢过了。

DDD会在计划任务里建立任务,所以,,,,

具体可以看我的这篇日志:
http://blog.iselong.com/blog/more.asp?name=cetus&id=1266
不给自己理由停留,我要展翅高飞。

TOP

Originally posted by yggcwx at 2005-6-1 12:07 PM:
  前些天被强制安装了DuDU加速器,曾发一帖,参见:http://forum.ioage.com/forum/cn/ ... ghlight=&page=1
   反复想了想,终于有所醒悟, ...


如果你的系统是windows xp sp2,那么这种事情是不可能发生的

如果你是为了帮助别人,那么你的心意我想大家都领会了,但是如果你不是专业人士,并不确定这样,请尽量不要发这类的帖子,这会误导别人
建议你去金山论坛、或者瑞星论坛,那里好多专业安全人士,可以给你明白的答案,也免得猜来猜去的

"...先偷偷在系统中写入C:\windows\temp\dddupdate.exe文件..."
如果能偷偷的写人一个执行程序并执行,那么干脆都用这种方式好了,还自动升级什么,早期存在的一些漏洞,在sp2面前都没有办法了,当然,如果你不是xp sp2,建议升级到xp sp2或者安装防火墙,如Norton

你的Dudu一定是装别的软件的时候捆绑进来的,这也是江民、瑞星公司的人不方便把它列为恶意程序的原因之一,如果它利用网页漏洞写人本地,那么这个行为足够被作为恶意程序处理的了

具体看这个http://wconsole.softreg.com.cn/aum/spreads_20050526_plugins.asp
weibo.com/xiezhenyu

TOP

Originally posted by phoenix at 2005-6-1 14:54:


如果你的系统是windows xp sp2,那么这种事情是不可能发生的

如果你是为了帮助别人,那么你的心意我想大家都领会了,但是如果你不是专业人士,并不确定这样,请尽量不要发这类的帖子,这会误导别人
建议 ...

  phoenix,你太武断了!以老经验判断新情况,只能越来越以错误为真理。我也只是说“各位看是不是”,从未说我的判断绝对正确。“误导”?凭一句“各位看是不是”,我能误导谁?
  看看沙鲸在这里的讨论:http://blog.iselong.com/blog/more.asp?name=cetus&id=1266,注意沙鲸的这句话“我可是从来没有下载过任何与DUDU有关系的软件!”偶中着的日子在
http://forum.ioage.com/forum/cn/ ... ghlight=&page=1里已经写明。此前一个月至今就没有安装过任何新软件!经常更新的倒是TW。
  唯一的可能就是浏览网页时中着。dudu已经成为超级dudu,忽视这一点,才是对大家真正的误导。

  系统:XP SP1 不知沙鲸是什么系统。SP2就不会中着,它有那么好吗?不大可能吧。
  如果不能”偷偷的写人一个执行程序并执行“,那么哪来那么多的病毒、木马???


[ Last edited by yggcwx on 2005-6-1 at 09:34 PM ]

TOP

Originally posted by yggcwx at 2005-6-1 21:21:

  phoenix,你太武断了!以老经验判断新情况,只能越来越以错误为真理。我也只是说“各位看是不是”,从未说我的判断绝对正确。“误导”?凭一句“各位看是不是”,我能误导谁?
   ...


SP2在SP1的基础上对系统做了较大的改进,安全性也提高了很多,有一套相对完善的安防体系。最主要的是修复了SP1以后的很多漏洞。而且在SP2后又有很多更新。单说修复漏洞这一块SP2就比SP1要安全的多。

所以装了SP2的系统要比SP1安全的多。
WIN 7 企业 简中版,全补丁
IE8 全补丁
AntiVir personal 9

TOP

操作系统的有很多漏洞,并且还在不断发现新的漏洞,利用一些漏洞,是有可能在没有权限的时候在你的机器上执行程序的,比如冲击波和前一阵闹得很火的GDI+的漏洞。我们能做的只是经常做windowsupdate,微软的补丁打的是很快的。

至于DUDU加速器,它的推广方式应该主要是捆绑,具体坤办的软件我也不知道有什么,但是很可能你下载的游戏破解或者什么软件中就捆绑了dudu加速器。
遇到崩溃假死或者感觉速度慢或者其他问题的朋友可以先试试使用TW3
TheWorld we explore the world.

TOP

yggcwx兄,偶一个月前中过这玩意,不过偶觉得一点不伤人,没新浪的那个iGame厉害,哈哈~~
偶当时是安装的EastTV。
请根据图,说明一下你电脑中的Ddd的运行位置,我们才好对症下药。
附件: 您需要登录才可以下载或查看附件。没有帐号?加入 我们
我回来了

TOP

不过这个东东还挺变态的,还按照偶的作息时间来安排计划任务
偶当时是把EastTV完全删了才让它无法启动的,这跟装没装SP2毫无关系

[ Last edited by blog168 on 2005-6-2 at 07:44 AM ]
附件: 您需要登录才可以下载或查看附件。没有帐号?加入 我们
我回来了

TOP

帖子转型鸟~大家回归TW的正题吧。
不给自己理由停留,我要展翅高飞。

TOP

沙鲸你后来搞清楚sr_wjkc.exe是从哪来的了吗?
如果你还保留着sr_wjkc.exe的话,能否传上来,偶像研究下。

[ Last edited by blog168 on 2005-6-2 at 10:28 AM ]
我回来了

TOP

Originally posted by blog168 at 2005-6-2 07:38:
不过这个东东还挺变态的,还按照偶的作息时间来安排计划任务
偶当时是把EastTV完全删了才让它无法启动的,这跟装没装SP2毫无关系

[ Last edited by blog168 on 2005-6-2 at 07:44 AM ]

  确实跟SP2毫无关系。另外,俺绝不相信这次是软件捆绑造成的:如上所述,好长时间根本就没装过什么软件啦!--是网页浏览时中的着!!
  多谢blog168兄,偶已根据沙老大的指点,把dudu彻底删除啦!办法:
  1.删计划任务;
  2.删主程序;
  3.删残留文件;
  4.删注册表。
  希望更多的朋友知道。不过,删计划任务时确实没留意它的路径是否与哪个软件捆绑,呵呵。
  新浪的那个把系统都文件都捆绑了,更孙子!


[ Last edited by yggcwx on 2005-6-2 at 12:12 PM ]

TOP

请不要在论坛随便攻击业内公司,包括网站等,谩骂解决不了问题

安全方面的东西以后请去金山或者瑞星的安全论坛,谢谢
weibo.com/xiezhenyu

TOP

返回列表