[其他内容] 趋势科技阻止TheWorld3注入 趋势科技

changzheng2

出于安全的考虑，趋势科技已阻止Theworld.exe注入。
名称：动态链接注入
风险等级：高
例程名称：NtUserSetWindowsHookEx
TheWorld.exe正在尝试配置Windows以便一个动态链接库(DLL)将被您的部分或全部应用程序自动装入。如果该DLL是恶意的，此更改可能严重影响您计算机的安全性和稳定性。

请凤凰工作室就该问题与趋势科技公司联系。谢谢！

changzheng2

趋势科技并不认为theworld.exe是病毒或木马，允许它运行，唯独认为它的动态链接注入有危险，阻止了这一行为。虽然阻止了注入，但是TheWorld3还是运行得非常好，浏览网页速度还不错。（从另一个角度来说，这个注入行为岂不是没有意义了？）趋势科技的中国个人用户虽然少，但是财政部、中国工商银行、一汽大众等大客户还是很可观的。

changzheng2

能不能详细说说谁注入谁
hblf 发表于 2009-5-9 12:52 http://bbs.ioage.com/cn/images/common/back.gif

趋势科技显示的内容就那么多，我也说不出啥更详细的东西了。总之，注入者是TheWorld3.0.2.0里的Theworld.exe，阻止者是趋势科技，被注入到哪里我不知道，注入什么东西我也不知道。但是我知道TheWorld3.0.2.0（以前的Theworld3版本无此现象）是众多浏览器中唯一被趋势科技认为有高危行为的。

changzheng2

刚才在世界之窗论坛里看到了一个昨晚发的帖子
http://bbs.ioage.com/cn/thread-89776-1-2.html
《我的监控软件检测到theWorld有广告软件运行，这是怎么回事啊》
文中提到ThreatFire监控到键盘活动被Theworld记录
到现在那篇帖子还没有技术性回复

趋势科技日志显示theworld3的theworld.exe在09：48询问注入，然后在10：07这短短的一分钟内，趋势连续两次拒绝，theworld再询问，趋势再拒绝，theworld再询问，趋势再拒绝！

详细信息：
类型：API事件
检测到的资源或进程ID：NtUserSetWindowsHookEx
受感染文件：D:\Program Files\TheWorld3\TheWorld.exe
策略违例：动态链接库注入

以关键词NtUserSetWindowsHookEx API谷歌搜索，显示的结果很多都是关于键盘钩子（记录键盘活动)。消息钩子是由Win32子系统提供，其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务，用户通过它注册全局钩子。当系统获取某些事件，比如用户按键，键盘driver将扫描码等传入win32k的KeyEvent处理函数，处理函数判断有无相应hook，有则callhook。此时，系统取得Hook对象信息，若目标进程没有装载对应的Dll，则装载之（利用KeUserModeCallback“调用”用户例程，它与Apc调用不同，它是仿制中断返回环境，其调用是“立即”性质的）。

虽然我对这些一窍不通，但是我怀疑Theworld是不是有键盘钩子？(-.-!)

changzheng2

刚才又在世界之窗论坛里逛了逛，才知道世界之窗浏览器的安全浏览功能，在浏览器线程中开启了全局钩子管理，其目的是防止系统中的恶意程序通过钩子来嗅探用户的键盘输入。银行网站大多使用HTTPS协议SSL加密，这个协议中的传输是经过加密的，恶意程序无法在网络通信层截获用户的账户和密码信息，而如果是做恶意程序的话，就会通过挂接钩子，截获用户正在访问的网址和在网页中输入的用户名密码，以达到盗取银行账号的目的。这个钩子管理，就是屏蔽别的程序钩子用的。我是傲游浏览器的老用户了，对世界之窗浏览器不是很了解啊。这下我放心了。给各位添麻烦了，对不起！！！