返回列表 发帖

[其他内容] 趋势科技阻止TheWorld3注入

出于安全的考虑,趋势科技已阻止Theworld.exe注入。
名称:动态链接注入
风险等级:高
例程名称:NtUserSetWindowsHookEx
TheWorld.exe正在尝试配置Windows以便一个动态链接库(DLL)将被您的部分或全部应用程序自动装入。如果该DLL是恶意的,此更改可能严重影响您计算机的安全性和稳定性。

请凤凰工作室就该问题与趋势科技公司联系。谢谢!
发挥Trident内核的极致!其它内核这也看不了,那也听不了,光是速度快,有毛用!

发挥Trident内核的极致!其它内核这也看不了,那也听不了,光是速度快,有毛用!
落霞与孤鹜齐飞,秋水共长天一色。

TOP

嗯,楼上正解,tw是有钩子,用来防一些偷账号的木马。

TOP

刚才又在世界之窗论坛里逛了逛,才知道世界之窗浏览器的安全浏览功能,在浏览器线程中开启了全局钩子管理,其目的是防止系统中的恶意程序通过钩子来嗅探用户的键盘输入。银行网站大多使用HTTPS协议SSL加密,这个协议中的传输是经过加密的,恶意程序无法在网络通信层截获用户的账户和密码信息,而如果是做恶意程序的话,就会通过挂接钩子,截获用户正在访问的网址和在网页中输入的用户名密码,以达到盗取银行账号的目的。这个钩子管理,就是屏蔽别的程序钩子用的。我是傲游浏览器的老用户了,对世界之窗浏览器不是很了解啊。这下我放心了。给各位添麻烦了,对不起!!!
发挥Trident内核的极致!其它内核这也看不了,那也听不了,光是速度快,有毛用!

TOP

17# changzheng2
钩子tw1、2代都有,是防木马的吧。记得开发组有说过的

TOP

这个值得关注一下下,搞明白的好!

TOP

刚才在世界之窗论坛里看到了一个昨晚发的帖子
http://bbs.ioage.com/cn/thread-89776-1-2.html
《我的监控软件检测到theWorld有广告软件运行,这是怎么回事啊》
文中提到ThreatFire监控到键盘活动被Theworld记录
到现在那篇帖子还没有技术性回复

趋势科技日志显示theworld3的theworld.exe在09:48询问注入,然后在10:07这短短的一分钟内,趋势连续两次拒绝,theworld再询问,趋势再拒绝,theworld再询问,趋势再拒绝!

详细信息:
类型:API事件
检测到的资源或进程ID:NtUserSetWindowsHookEx
受感染文件:D:\Program Files\TheWorld3\TheWorld.exe
策略违例:动态链接库注入

以关键词NtUserSetWindowsHookEx API谷歌搜索,显示的结果很多都是关于键盘钩子(记录键盘活动)。消息钩子是由Win32子系统提供,其核心部分通过NtUserSetWindowsHookEx为用户提供了设置消息钩子的系统服务,用户通过它注册全局钩子。当系统获取某些事件,比如用户按键,键盘driver将扫描码等传入win32k的KeyEvent处理函数,处理函数判断有无相应hook,有则callhook。此时,系统取得Hook对象信息,若目标进程没有装载对应的Dll,则装载之(利用KeUserModeCallback“调用”用户例程,它与Apc调用不同,它是仿制中断返回环境,其调用是“立即”性质的)。

虽然我对这些一窍不通,但是我怀疑Theworld是不是有键盘钩子?(-.-!)
发挥Trident内核的极致!其它内核这也看不了,那也听不了,光是速度快,有毛用!

TOP

是勾子。

TW 自己用勾子并不出奇,但应该不用注入其他程序。

TOP

也没什么的,加入它的信任名单就行了(不可能没这个功能吧)。
化外愚民 发表于 2009-5-9 11:21 http://bbs.ioage.com/cn/images/common/back.gif


正解……

TOP

还真没用过趋势,不过既然都已经告知用户发生注入了,为何又不提示清楚究竟是哪个注入到哪个呢,如果这个都不提示清楚的话,用户怎么判断究竟这个所谓的高危,对于客户的实际环境究竟是不是有危险呢,就比如ls提到的,扩展!
扯的有点远了,中心思想一句话:目前的信息无法得出究竟tw是不是有害。
win7 旗舰版
IE8.0
KAV9.0.0.736
PCTools FW 6
---------------------
我们再也回不去了,对不对
俺的自留地,就是有点枯燥:lewisec.sinaapp.com

TOP

可能阻止的是TW扩展,因为只有扩展是DLL。

TOP

趋势科技显示的内容就那么多,我也说不出啥更详细的东西了。总之,注入者是TheWorld3.0.2.0里的Theworld.exe,阻止者是趋势科技,被注入到哪里我不知道,注入什么东西我也不知道。但是我知道TheWorld3.0.2.0(以前 ...
changzheng2 发表于 2009-5-9 15:17 http://bbs.ioage.com/cn/images/common/back.gif


建议楼主检查一下md5和签名,如果没问题的话就是误报,可以忽略,无视。
落霞与孤鹜齐飞,秋水共长天一色。

TOP

返回列表