瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 希望大家能看清3721的面目(二)
流云飞叶 - 2005-7-1 14:58:00
2、写入的注册表项目
据安装前后的注册表导出比较后得出的不完全统计,系统注册表被写入的内容大致如下(因浏览网页等操作会导致动态修改,因此可能会有一些误差):
安装3721后,注册表中被写入122个键项、408个键值;
安装上网助手后,注册表中被写入251个键项、656个键值。
遗憾的是,按正确的方法卸载、重启后注册表项目仍然无法全部被清除!
3、多种途径实现的自动加载项
3721声明以标准系统接口实现自动加载,而且将这些标准接口利用得淋漓尽致!
⑴上网助手在注册表HLM下面的Run键项中添加helper.dll、YDTMain.exe、CnsMin三个自动加载模块,而且卸载、重启后仍然存在(图20);
⑵通过驱动程序模式加载CnMinPK.sys模块,实现进程隐藏,并且通过系统本身的Msconfig无法检测;
⑶通过其多个模块之间的相互修复和守护实现,实现交叉安装、修复、加载;
⑷通过嵌入浏览器帮助对象,实现功能的自动加载;
⑸通过各模块卸载对话框中的修复选项,诱导用户在卸载某个模块的同时,修复和自动加载另一些模块;
⑹通过捆绑到某些第三方安装程序,在安装过程中实现自动安装和自动加载。

图 20  卸载后仍然自动重启的模块
4、自我守护的进程
如图21,安装上网助手后,任务列表中会存在三个进程,其中以Rundll32.exe显示的两个进程可以实现自动交叉修复,即一个进程是另外一个进程的守护进程。因此,使用Windows任务管理器是无法顺利将它们从内存中关闭的,这点相信多数人深有体会!

图 21  创建多个进程并且可自我守护
5、植入系统的浏览器加载项
图22是上网助手自动植入系统中的8种浏览器加载项。用户的浏览器成为几大公司发财的财源基地。余下的就差没有拿着刀子上门直接抢钱了。

图 22  一口气自动植入8种浏览器加载项
6、自动植入浏览器工具栏的多种无关按钮
呵呵,安装后,浏览器上什么Yahoo!等乱七八糟的按钮一股脑儿给你安装上了,甚至连资源管理器也没有放过(图23,够贴心的吧)。

图 23  资源管理器中被强行植入的按钮
7、控制面板添加删除程序列表中的多余项目
在未被明确告知的情况下,安装上网助手后,控制面板的添加删除程序列表中会额外加入两个程序项目(图24)。

图 24  不知道什么时候被植入的额外两个模块
8、植入系统的系统服务表
使用IceSword这款安全工具检测系统服务描述表(SSDT),可以发现除Ntoskrnl.exe这个系统内核外,就是3721和上网助手的“CnsMinKP.sys”了。搞编程的人知道这做到了什么级别,普通网民反正“眼不见为净”。可见功夫真的下到了家了!

图 25  通过任务管理器无法查看到的系统服务表
9、自动创建的线程情况
从图26可以看出,上网助手及其模块自动创建的线程数之多,在系统总体线程数的比例上是多得令人吃惊的!该图为未打开任何浏览器以及其他相关窗口情况下的线程创建情况(部分需滚动才能查看)。

图 26  自动创建的线程列表
10、后台运行的消息钩子
有兴趣的人可以看看图27中的钩子类型,看看3721利用的大量钩子函数在干些什么。

图 27  众多的消息钩子
11、植入浏览器右键菜单的“!搜一搜”菜单项
呵呵,浏览器右键菜单中被植入的“!搜一搜”是不是该倒过来从右向左读?这个世界的法则是不是也要倒过来解读(图28)?

图 28  浏览器右键菜单项
12、上网助手Assistse.exe打开本地1028端口
如图29,上网助手Assistse.exe打开本地UDP 1028端口,作用不明。

图 29  端口打开情况
13、植入Internet选项设置
图31是植入到Internet选项的“高级”设置的内容。看看,还有“自动升级”功能呢,有什么新的手段或主意了,再在您的系统中试试?

图 31  Internet选项中被植入的内容
四、3721及上网助手卸载情况剖析
有人在网卡撰文说3721现在可以通过其卸载程序干净地卸载了。事实情况真的是这样吗?请看——
1、“完全删除”和“完全卸载”的卸载承诺
如图32,无论3721网络实名还是上网助手,在卸载程序中都承诺“把上网助手从电脑中完全删除”和“完全卸载实名插件并关闭实名功能”。

图 32  卸载界面的承诺
2、完全卸载不完全
网络实名卸载成功并重启后,在资源管理器中无法看到WindowsDownloaded Program Files文件夹中有任何文件(即使你将资源管理器设置为显示所有文件、显示系统文件)。但使用著名的Total Commander文件管理器,却发现有一个zsmod.dll的隐藏文件(图33)!如果是卸载上网助手,卸载成功并重启后,上述目录居然隐藏有30个文件1个文件夹(图34)!
以zsmod.dll为关键字在注册表编辑器中搜索,可以发现这个文件并非是一个被“遗忘”的死文件,而是有相应的注册表键值(图35)!
卸载上网助手成功并重启后,检测BHO(浏览器帮助对象),发现系统中仍然保留有YDT.DLL和CnsHook.dll这两个BHO对象(图36)!
卸载上网助手成功并重启后,检测自动加载项目,发现仍然存在helper.dll、YDTMain.exe、CnsMin三个自动加载的程序项目(图37)!
再检测系统已经加载的内核模块,发现以驱动形式加载的CnsMinKP.sys仍然被成功加载(图38)!以CnsMinKP.sys在注册表编辑器中搜索,卸载成功并重启后注册表中仍然保留CnsMinKP.sys的3处隐藏服务键值(图39),使得卸载操作完全是一个骗局,其基本功能根本没有受到影响,至多是那个一般情况下显示在系统托盘的可以向用户提供“服务”的小图标不见了!当然,系统Drivers目录中的CnsMinKP.sys文件依然完好,没有受到任何破坏!
看看系统进程如何。如图40,YDTMain.exe、相互守护的Rundll32.exe共3个进程仍然静静地在那儿!
由此可见,上述就是所谓的“把上网助手从电脑中完全删除”的真相!
真的想把它们彻底清除吗?可以,手工在添加删除程序列表中把另外未被告知的两个3721强行安装的程序一一卸载(卸载时注意看清楚相关选项!否则可能又相互修复),此时绝大多数文件和注册表被清除。但WindowsDownloaded Program Files文件夹中zsmod.dll的隐藏文件以及相关的注册表键值却永远不会被清除!

图 33  3721卸载重启后资源管理器无法看到的隐藏文件

图 34  上网助手卸载重启后系统目录中隐藏的大量文件(Windows资源管理器无法以任何方式查看到,Total Commander可显示)

图 35  卸载重启后注册表中的保留键值

图 36  卸载重启后仍然被保留的浏览器帮助对象模块

图 37  卸载重启后仍然被保留的自动加载项目

图 38  卸载重启后仍然以驱动模式加载的内核模块

图 39  卸载重启后注册表中仍然保留的3处隐藏服务键值

图 40  上网助手卸载重启后仍然在运行的后台进程和仍然存在的浏览器工具栏按钮
3、额外安装的两个模块必须另行卸载
图43就是安装时未被明确告知就强行安装的、需要我们手工卸载的垃圾程序。

图 43  额外安装的两个模块必须手工卸载
4、卸载过程中仍然试图交叉修复
卸载这些额外程序模块的过程中,存在默认被选中的以“卸载”二字开头的一个选项:
“卸载上网助手-地址栏搜索后保留上网助手等按钮”
如果你操作中只看了前面半句,以为是选择了“卸载”它们,那你就错了!
由此可见3721的对用户的心理和电脑使用习惯研究得非常透彻,能够利用的都充分利用了!

图 44  卸载过程中仍然试图交叉修复
五、3721, 给我们一个说法!
●如果说用户是“自愿”安装的,那么您能够同我们一起,在相关公证部门的监督下,对我校上万个校园网用户进行调查吗?能够在网络上接受广大网友的调查吗?能够接受任何一种其他公开、公平的方式的调查吗?
●我们上网有权利选择我需要的和不需要的东西,您能够想办法让我们的用户有选择下载和不下载(包括后台下载相关代码)的权利吗?
●3721强行植入浏览器地址栏历史中的链接并不是我们所需要的,它影响了我们的形象品味,让人以为我们上网就是在看美女,这是对我们人格的侮辱、对工作的干扰。对此如何解释?
●3721植入浏览器地址栏历史的链接在什么地方经过了我们的允许?我在被安装时从什么地方被告知我将被安装上那些即使不叫色情起码也属于灰色成份的东西的?
●如果说 3721 给很多不懂英文的朋友提供了方便,毕竟可以用中文上网,那么我们不需要 3721,我们就没有网络信息的下载选择权了吗?即使我们不懂英文,但我们不希望使用 3721,但事实上通过各种方式,被有意和无意中安装上 3721,岂不是对所有用户的不负责任?
●3721 的口号是让人可以用中文上网,也许我们需要这种方便,但我们并没有希望可以不经过用户的默许就给我们安装和植入大量无关内容和功能!难道打着中文上网等诱人口号的同时利用广大网民为你们不择手段地赚取财富,这不是一种欺诈行为吗?
●3721 提供的导航中,既有直接提供的不良内容,也有合作方提供的不良内容。在中国的天空下公开宣传“A片”、“诱奸”、“三级明星”……等,就因为 3721 现在与 Yahoo 这个财大气粗的集团合作,就可以对中国的网络环境为所欲为地污染吗?
●安装 3721 系列插件时,并没有被告知其中有大量“少儿不宜”的内容,安装3721的电脑就变成一台不折不扣的“少儿不宜”的电脑。请问 3721 的员工们,你们有没有子女?你们的子女上网时成天使用的就是3721的导航吗?
●我们尊重学术,3721 能够配合我们完全从学术的角度,汇集计算机、网络、法律、公共关系等专业的学者,专门就 3721 进行一次公开的学术研讨吗?
●不管3721的后台是什么,不管3721多么有钱(我们口袋里只有本月都不太丰盛的几张饭票),就可以置法律于不顾、置良心道德于不顾、置用户的基本权益于不顾,以强权的方式推销自己吗?
●并非所有的网民都有程序员的水平,在不愿意要 3721 的情况下,你们如何保证用户可以彻底干净地卸载 3721?
●即使是一个程序员,要想彻底干净卸载 3721 和上网助手也并非易事。作为免费产品,用户就没有任何选择的权利了吗?难道就因为免费而可以剥夺用户拒绝使用(干净卸载)的权利吗?
●我们上网有权利选择我需要的和不需要的东西,3721 尊重了我们用户有选择下载和不下载(包括后台下载相关代码)的权利吗?
●3721 在安装和卸载时是有选项提示,但那种明明是卸载程序却偏偏添加保留某个组件(何况上网助手一次性同时安装了多个程序),那种卸载对话框是否有误导之嫌?
●3721强行植入浏览器地址栏历史中的链接并不是我们所需要的,它影响了我们的形象品味,让人以为我们上网就是在看美女,这是对我们人格的侮辱、对工作的干扰。对此如何解释?
●对于众所周知的、占据国内极大用户份额的3721系列插件,对全国网民的影响可谓是非常全面的。在中华人民共和国的法律下,在中国共**领导的天空下,你们不由用户选择地安装进入那些性、赚钱、享乐等声色犬马的导航,这符合国家的宣传导向吗?中国的网络世界已经姓Yahoo,而不受中国法律和道德的制约了吗?
●如果说软件有 BUG,那么经过那么多人的多年使用,各媒体反响也不可谓不强烈,这些BUG就不能修正吗?即使是免费,向用户使用免费产品时就可以提供带缺陷(BUG)的东西吗?
●中国应当还有起码的言论自由,我们只是在反映和关注客观事实、千千万万亿亿人可以证明的客观事实!难道 3721 做都做得,作为一介网民的我们说都说不得?
●对于目前(甚至很长时间以来)存在的这些涉及侵害用户权益的问题,多年来你们已经违法了,而且还要继续违下去!3721 能够直面以往那么多年以来对用户的作为吗?是的,许多用户不懂,但不要忘记还有许多(而且越来越多!)的用户懂(懂技术也懂法律)!难道 3721 真的要等到全国网民来一个 3721 大讨论都会引起重视吗?
●我们希望 3721 对我校的用户就上述系列问题一一作出解释,一个讲得通的解释,并要求 3721 公司向我们提供真正直接、干净卸载 3721 所有组件的卸载程序,并保证我们在上网的时候不会在非我们意愿的情况下带来各种干扰。

我们并没有谩骂,请不要也不必转移话题;
我们及时响应了你们的联系,你们不要给自己的行为预先打埋伏;
我们没有 3721 那么有钱,但钱可以收买媒体、甚至可以收买法律,但无法收买千千万万网民的人心!
同志们,请顶一下,让更多的人能看清3721!!!
另外"龙族联盟"有更多更详细的说明,大家有兴趣可以去看一下!
1
查看完整版本: 希望大家能看清3721的面目(二)