瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【转贴】全面剖析3721及上网助手(发布者:合肥工业大学imxk)

12345678»   1  /  30  页   跳转

【转贴】全面剖析3721及上网助手(发布者:合肥工业大学imxk)

收藏
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 19:35 | 只看楼主 短消息 资料
字号: 1楼

【转贴】全面剖析3721及上网助手(发布者:合肥工业大学imxk)

还在为3721而争论。今天看到了这个,转到这里来,大家好好看看清楚,也许有疑问的地方,请跟帖提出。


3721真的能够卸载干净吗?
3721真的仅仅是一个中文上网这么简单吗?
3721对网络甚至对国家安全的危害仅仅是您目前所认识到的吗?
3721自称的“详细技术情况”真的给您知情权了吗?
3721上网助手真的是您的什么“助手”吗?
全面揭露  触目惊心!

3721作为一种可自动安装的、普及率极广的一种网络程序,近年来对之的争议颇多。本文试图从安装、卸载工、服务、系统影响等各个方面列举系列客观事实,有关观点仅代表笔者个人意见,拿出来与大方之家商榷,相信大家见仁见智各有自己的结论,同时也希望以此引起有关部门的注意。

测试环境:VMWare虚拟机,共享主机连接,以独立的公网IP 地址上网;操作系统为Windows XP Pro SP2,默认安装,仅以直接复制的方式拷贝了测试所必须的文件管    理程序Total Commander、注册表跟踪工具Advanced Registry Tracer、抓图工具UltraSnap、打字必须的极点五笔输入法,未安装其他任何软件。
最后编辑2007-07-09 14:16:28
分享到:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 19:37 | 只看楼主 短消息 资料
字号: 2楼

一、3721安装剖析
1、安装推广由“反复提示”式为主为转向捆绑为主
自从Windows XP SP2推出加强的安全特性后,以前频繁出现的3721安装提示被进行了有效抑制(图1),因此其推广安装方式除传统的通过浏览器植入安装、直接下载安装外,又开拓了在某些共享软件和免费软件中捆绑的方式进行安装(图2)。新的捆绑安装方式,虽然有安装选项,但对于习惯了“一路回车法”安装软件的用户,被顺手装入系统的可能性极大!

图 1 Windows XP SP2的安全机制给3721的安装带来不便

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 19:37:14
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 19:37 | 只看楼主 短消息 资料
字号: 3楼

图 2  通过免费或共享软件的捆绑并默认安装

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 19:37:47
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 19:38 | 只看楼主 短消息 资料
字号: 4楼

2、“一拖三”的安装方式,偷偷植入另外模块
如果被安装上上网助手,则实际上同时被植入系统的并非上网助手一个程序,而是同时另外被静默地植入了“地址栏搜索”和“搜索助手”这两套独立的程序(图3)。

卸载上网助手时,额外植入的两套程序不会被卸载;卸载每一套程序时,卸载对话框中都添加保留另外模块的选项,以实现非刻意卸载情况下的自我交叉修复。

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 19:38:51
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 19:39 | 只看楼主 短消息 资料
字号: 5楼

3、完善的自我保护机制
从安装、保护、卸载、修复几个环节来看,各个环节环环相扣(图4),任何一环没有正确处理,则就无法实现表面的干净卸载(真正彻底卸载除非手工清理,否则无法实现完全卸载,,后文详述)。

图 4  各个环节的保护机制环环相扣,清除不易

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 19:39:34
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 19:40 | 只看楼主 短消息 资料
字号: 6楼

二、3721及上网助手提供的“贴心”服务提供剖析
号称提供各种贴心服务,其服务项目所标示的功能也非常的人。我们对其中几项进行了简单测试,看看3721到底提供的是一些什么性质、什么质量的“服务”。

1、黄毒横行触目惊心
安装3721中上网助手后,浏览器浏览器地址栏被无告知地植入20多项URL列表,其内容不外乎:性、娱乐、赚钱等几方面有关(图5)。

图 5  自动植入的浏览器浏览器地址栏URL列表


附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 19:40:48
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 19:41 | 只看楼主 短消息 资料
字号: 7楼

从其强行植入的地址栏URL列表来看,安装了3721或上网助手的电脑就不折不扣地成了一台“少儿不宜”的电脑电脑!

看看其强行植入的“美女如云——15亿图片心情体验”链接,随意点击几个链接,结果如图6,什么“裸体”、“自拍”、“三级明星电影”、“诱惑放荡的少妇”、“宾馆偷房”、“无限激情”……等不堪入目的字眼扑面而来!

图 6  自动植入浏览器地址历史中的链接内容之一



附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 19:41:54
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 19:42 | 只看楼主 短消息 资料
字号: 8楼

如果说具体的内容提供与其他合作方有关系,那么看看3721推荐的“美女如云——15亿图片心情体验”的主页面,什么“波霸”、“A片”的类别项目赫然在目(图7)。

图 7  自动植入浏览器地址栏历史链接的部分内容之二

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 19:42:53
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 19:43 | 只看楼主 短消息 资料
字号: 9楼

再看看3721推荐提供的“极速宽频影院”(图8)。“性的日记”、“姐妹情色”、“村妓”、“偷情家族”等占据了内容目录的绝大部分,您能够从中找到哪怕一丁点健康、积极、向上的内容吗?!

这就是3721和上网助手提供的服务中的内容品味的冰山一角。


图 8  自动植入浏览器地址栏历史链接的部分内容之三


附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 19:43:42
描述:
gototop
 
天天泡泡
头像
卡卡技术团队
  • 帖子:17486
  • 注册: 2004-01-21
  • 来自:安徽安庆
论坛8周年活动礼物卡卡名人堂
发表于: 2005-06-26 19:45 | 只看楼主 短消息 资料
字号: 10楼

除了上述明目张胆的色情(公开传播的内容中那些不是色情还有是色情?)宣传推广,其还采用了一种诱惑点击的网络钓鱼方法:以“免费电影”为幌子,播放器上覆盖广告,用户点击播放器时将触发对广告的点击(图9)。
此种诱惑点击的手段仅仅是一种方式。有了这种“先进的”方式,还有什么事情不能做呢?

图 9  自动植入浏览器地址栏历史链接中打开的免费电影(网络钓鱼:以一Flash广告与播放按钮重叠的方式,诱惑用户点击。这里设置不显示Flash以暴露其重叠的框架结构)

附件附件:

下载次数:0
文件类型:image/pjpeg
文件大小:
上传时间:2005-6-26 19:45:04
描述:
gototop
 
<<上一主题|下一主题>>
12345678»   1  /  30  页   跳转
页面顶部
Powered by Discuz!NT