世界之窗论坛 - Powered by Discuz! Board

标题: [其他内容] 趋势科技阻止TheWorld3注入 [打印本页]

作者: changzheng2 时间: 2009-5-9 10:18 标题: 趋势科技阻止TheWorld3注入

出于安全的考虑，趋势科技已阻止Theworld.exe注入。
名称：动态链接注入
风险等级：高
例程名称：NtUserSetWindowsHookEx
TheWorld.exe正在尝试配置Windows以便一个动态链接库(DLL)将被您的部分或全部应用程序自动装入。如果该DLL是恶意的，此更改可能严重影响您计算机的安全性和稳定性。

请凤凰工作室就该问题与趋势科技公司联系。谢谢！

作者: xuweiuser 时间: 2009-5-9 11:08

从来不用“趋势科技”的产品，
相信也没有几个人会用到他的杀毒软件，

作者: 化外愚民 时间: 2009-5-9 11:21

也没什么的，加入它的信任名单就行了（不可能没这个功能吧）。

作者: changzheng2 时间: 2009-5-9 11:54

趋势科技并不认为theworld.exe是病毒或木马，允许它运行，唯独认为它的动态链接注入有危险，阻止了这一行为。虽然阻止了注入，但是TheWorld3还是运行得非常好，浏览网页速度还不错。（从另一个角度来说，这个注入行为岂不是没有意义了？）趋势科技的中国个人用户虽然少，但是财政部、中国工商银行、一汽大众等大客户还是很可观的。

作者: jeccci5 时间: 2009-5-9 11:58

mamutu稍好，弹窗提示，当然选择放行了

作者: himmel 时间: 2009-5-9 12:44

趋势科技并不认为theworld.exe是病毒或木马，允许它运行，唯独认为它的动态链接注入有危险，阻止了这一行为。虽然阻止了注入，但是TheWorld3还是运行得非常好，浏览网页速度还不错。（从另一个角度来说，这个注入行为 ...
changzheng2 发表于 2009-5-9 11:54 http://bbs.ioage.com/cn/images/common/back.gif

+1
2楼的那位先生说话很没有水准，且透露出足够的无知
相信这里没有用过hotmail的应该很少吧，趋势可是在几年前把hotmail的附件扫描从mcafee手里抢过来的

作者: xvlzw 时间: 2009-5-9 12:48

+1
2楼的那位先生说话很没有水准，且透露出足够的无知
相信这里没有用过hotmail的应该很少吧，趋势可是在几年前把hotmail的附件扫描从mcafee手里抢过来的
himmel 发表于 2009-5-9 12:44 http://bbs.ioage.com/cn/images/common/back.gif

N年不登陆一次的hotmail，，mcafee的强大，在于它几乎完美的监控，，至于扫描病毒，那不是它的强项。。。

作者: hblf 时间: 2009-5-9 12:52

能不能详细说说谁注入谁

作者: lakira 时间: 2009-5-9 13:21

主动防御，卡巴也有，很正常的~~~~~~~

作者: changzheng2 时间: 2009-5-9 15:17

能不能详细说说谁注入谁
hblf 发表于 2009-5-9 12:52 http://bbs.ioage.com/cn/images/common/back.gif

趋势科技显示的内容就那么多，我也说不出啥更详细的东西了。总之，注入者是TheWorld3.0.2.0里的Theworld.exe，阻止者是趋势科技，被注入到哪里我不知道，注入什么东西我也不知道。但是我知道TheWorld3.0.2.0（以前的Theworld3版本无此现象）是众多浏览器中唯一被趋势科技认为有高危行为的。

作者: keaimao1989 时间: 2009-5-9 15:19

裸奔很多年了哈哈

作者: xvlzw 时间: 2009-5-9 15:19

趋势科技显示的内容就那么多，我也说不出啥更详细的东西了。总之，注入者是TheWorld3.0.2.0里的Theworld.exe，阻止者是趋势科技，被注入到哪里我不知道，注入什么东西我也不知道。但是我知道TheWorld3.0.2.0（以前 ...
changzheng2 发表于 2009-5-9 15:17 http://bbs.ioage.com/cn/images/common/back.gif

建议楼主检查一下md5和签名，如果没问题的话就是误报，可以忽略，无视。

作者: WeeVee 时间: 2009-5-9 15:23

可能阻止的是TW扩展，因为只有扩展是DLL。

作者: hblf 时间: 2009-5-9 16:41

还真没用过趋势，不过既然都已经告知用户发生注入了，为何又不提示清楚究竟是哪个注入到哪个呢，如果这个都不提示清楚的话，用户怎么判断究竟这个所谓的高危，对于客户的实际环境究竟是不是有危险呢，就比如ls提到的，扩展！
扯的有点远了，中心思想一句话：目前的信息无法得出究竟tw是不是有害。

作者: vip888 时间: 2009-5-9 17:39

也没什么的，加入它的信任名单就行了（不可能没这个功能吧）。
化外愚民发表于 2009-5-9 11:21 http://bbs.ioage.com/cn/images/common/back.gif

正解……

作者: AY 时间: 2009-5-9 18:18

是勾子。

TW 自己用勾子并不出奇，但应该不用注入其他程序。

作者: changzheng2 时间: 2009-5-9 18:33

刚才在世界之窗论坛里看到了一个昨晚发的帖子
http://bbs.ioage.com/cn/thread-89776-1-2.html
《我的监控软件检测到theWorld有广告软件运行，这是怎么回事啊》
文中提到ThreatFire监控到键盘活动被Theworld记录
到现在那篇帖子还没有技术性回复

趋势科技日志显示theworld3的theworld.exe在09：48询问注入，然后在10：07这短短的一分钟内，趋势连续两次拒绝，theworld再询问，趋势再拒绝，theworld再询问，趋势再拒绝！

详细信息：
类型：API事件
检测到的资源或进程ID：NtUserSetWindowsHookEx
受感染文件：D:\Program Files\TheWorld3\TheWorld.exe
策略违例：动态链接库注入

以关键词NtUserSetWindowsHookEx API谷歌搜索，显示的结果很多都是关于键盘钩子（记录键盘活动)。消息钩子是由Win32子系统提供，其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务，用户通过它注册全局钩子。当系统获取某些事件，比如用户按键，键盘driver将扫描码等传入win32k的KeyEvent处理函数，处理函数判断有无相应hook，有则callhook。此时，系统取得Hook对象信息，若目标进程没有装载对应的Dll，则装载之（利用KeUserModeCallback“调用”用户例程，它与Apc调用不同，它是仿制中断返回环境，其调用是“立即”性质的）。

虽然我对这些一窍不通，但是我怀疑Theworld是不是有键盘钩子？(-.-!)

作者: JJYY 时间: 2009-5-9 19:28

这个值得关注一下下，搞明白的好！

作者: WeeVee 时间: 2009-5-9 19:49

17# changzheng2
钩子tw1、2代都有，是防木马的吧。记得开发组有说过的

作者: changzheng2 时间: 2009-5-9 20:18

刚才又在世界之窗论坛里逛了逛，才知道世界之窗浏览器的安全浏览功能，在浏览器线程中开启了全局钩子管理，其目的是防止系统中的恶意程序通过钩子来嗅探用户的键盘输入。银行网站大多使用HTTPS协议SSL加密，这个协议中的传输是经过加密的，恶意程序无法在网络通信层截获用户的账户和密码信息，而如果是做恶意程序的话，就会通过挂接钩子，截获用户正在访问的网址和在网页中输入的用户名密码，以达到盗取银行账号的目的。这个钩子管理，就是屏蔽别的程序钩子用的。我是傲游浏览器的老用户了，对世界之窗浏览器不是很了解啊。这下我放心了。给各位添麻烦了，对不起！！！

作者: 小絮 时间: 2009-5-9 20:20

嗯，楼上正解，tw是有钩子，用来防一些偷账号的木马。

作者: xvlzw 时间: 2009-5-11 14:32

发挥Trident内核的极致！其它内核这也看不了，那也听不了，光是速度快，有毛用！

欢迎光临世界之窗论坛 (http://bbs.theworld.cn/)