[交流] 請不要看，這篇會害你裝上廣告、病毒、木馬、後門

spee1231

請問各位裝 Messenger Plus & File Transfer Plus 1.1 BETA 都沒有問題嗎??
小弟裝了兩台, 兩台都中木馬..
W32.TrojanDownloader.Swizzor.br

強制去改首頁, 還會常駐..#$%^&*#$%^&
弄了好久終於解掉..

各位的都沒問題嗎??
Messenger Plus 是去原始網站抓的
File Transfer Plus 1.1 BETA 是阿輝給的連結...

sigh..

spee1231

Originally posted by Jam~ at 2004-10-25 03:44 PM:
你應該是去安裝到MSN Plus的贊助軟體了
在安裝時 會有個使用者協議的畫面 問你要不要安裝贊助軟體...
選不要 就不會出現那些東西了...

感謝.. 原來是那個..
我以為是協議同意書.. 所以沒看就按下去..
可是也真惡劣~ 不僅綁架網頁, 連移除也不會移除乾淨..
要砍乾淨, 真是有點麻煩...
不過怎麼裡頭會有木馬呢? 真令人意外~

[ Last edited by spee1231 on 2004-10-26 at 01:23 ]

spee1231

Originally posted by achen at 2004-10-26 08:20 AM:
同意阿輝說的.  95%以上的廣告軟體, 都是使用者(你自己)同意安裝上去的.
不要怪軟體商惡劣, 也不要覺得無辜..

我想基本上我會說出惡劣這兩個字, 正式因為他安裝的廣告軟體不僅常駐記憶體執行, 並且每分鐘幫你改網頁..(不是改主頁, 是改搜尋引擎頁)
而, 那個網頁正是一串亂碼..根本沒有資料! <--- 這就是 MSN Plus 所謂的廣告嗎??

以上都還無妨..
但使用者移除後, 程式不僅沒有移除乾淨, 更會在 regedit 裡的 uninstall 資訊再次執行一次木馬..
使用軟體掃瞄如 ad-ware 也無法找到他的木馬原始檔案, 砍掉的僅是他複製 & 常駐記憶體的木馬..
直接掃瞄如 ad-watch 攔截到在 regedit 裡頭資料..
很抱歉.. 字串在 regedit 裡找不到..
要不是仔細找目錄中的檔案, 我還真的找不到木馬原始檔..

軟體商要加上廣告軟體無妨, 但如此行徑.. 小弟無法苟同!!

spee1231

Originally posted by 阿輝 at 2004-10-27 02:24 AM:
那就大概你不知道哪裡有出問題了
Ms Plus 的廣告我有裝
並沒有你說的現象
冤有頭債有主啊

其實這次中木馬的有兩台..
一個是我的 Notebook, 另一個是我遠端控制我朋友電腦, 由我直接幫他裝..
Messenger Plus 的確是從官方抓取... 另外還裝了阿輝推薦的 File Transfer..
兩台裝了之後都中標.. 因為沒裝之前都一切正常..

這個木馬很討厭.. 因為 ad-watch 抓到他要登錄的 Search Engine 頁每筆資料都不同, 都是一串不知道什麼網頁的咚咚.. 如 http://hjksadfkjcxml;adsfasjdfkl ... alfidsoapfdskjfkwei真的是連不上任何的廣告頁..

我朋友很驚訝.. 他在電腦前看著我控制, 然後中標..
想說來源是官方的檔案怎麼可能有問題..
老實說我也很疑惑.. sigh..

後來那天午夜中毒, 一直研究到半夜四點才解掉..
他常駐的程式是從某地方複製，再去執行常駐.. 所以每個檔案都不同..
因為找來源花了很多力氣..

不過也是自己不小心按到安裝才發生這種情形..
只是我沒想到, 反安裝還是會在 RunOnce 下執行一次..(印象中 runonce 執行的那個移除資料好像也是連結到木馬..)
本來寄望 Ad-ware 解掉木馬, 不過抓到的都不是主要的程式..
所以沒有治到本..

現在真的是對這個程式敬而遠之.. 也算是一次經歷..
不過這種經驗蠻不好的.. sigh..
真是太久沒中過毒了..

P.S.. 以下是檔案的小小資訊.. 不過不重要, 應該不會再裝了...B)
Messenger Plus 下載的是官方 3.25.106
3.42 MB (3,589,256 位元組)
File Transfer Plus 為 1.0 Beta
119 KB (122,809 位元組)

[ Last edited by spee1231 on 2004-10-27 at 03:40 ]

spee1231

又重裝了一次.. 確定是 Messenger Plus. B)
我說的所有情形.. 是在有選取安裝廣告軟體..
反安裝程式不會移乾淨.. 註冊檔中 RUN 下依然會去執行木馬,
有許多檔案放在 Document & Setting 中沒被移開, 還會一直執行修改機碼...

或許使用者本身可以選擇不要安裝..
即使是使用者同意安裝了, 在移除時也不應該是這樣糟糕的情形....

軟體是剛剛從官網抓的..
v3.25.106
3.42 MB (3,589,256 位元組)

B) B)

spee1231

我想反安裝乾不乾淨我不予置評~ 自己裝過最清楚..
我安裝的是官版
v3.25.106
3.42 MB (3,589,256 位元組)

反安裝後, 殘餘資料..
C:\Documents and Settings\your id\Application Data\long hope wave (此目錄也會改名)
C:\Documents and Settings\All Users\Application Data\隨機目錄下有木馬檔

木馬檔在執行後，會常駐記憶體, 並複製在 temp 目錄.. 此時 Ad-ware 才掃得出來..
這兩個目錄的執行檔用防毒、 ad-ware 均掃不出來...

殘餘機碼:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 綁搜尋網頁
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 重複執行木馬
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 也有執行木馬資料

至於常駐後, 隨時隨地修改主頁/搜尋頁就不用說了..
這些情形都是在反安裝後所查到的資料..
是否符合小弟所說的惡劣? 我想有興趣的朋友自己去研究我所提到些機碼，這些目錄與常駐程式之間的關連性.. 執行了哪些東西,常駐了哪些東西?? 不多說..

最後.. 前述許多網友說「誰叫你要裝?」
也是啦.. 誰叫我要裝..
不過麻煩軟體設計在移除時清除乾淨!! 留著上述那些資料與機碼算什麼？
-----------------
OK.. 以上是對這套軟體的氣話~~
也感謝阿輝提醒使用者~
有不小心安裝到的朋友, 可以去 Check 小弟所說的那幾個機碼及資料夾..

繼續潛水.. 我想我太雞婆, 話太多了..

[ Last edited by spee1231 on 2004-10-28 at 01:54 ]