找回密码
 立即注册

QQ登录

只需一步,快速开始

教程经验总索引TVMW5/小日本5 索引【视频转换】小日本4/TE4XP 索引【视频转换】TAW4 / TDA3 索引【DVD打包软件】
Nero 索引DVD-Lab 索引【DVD打包软件】编解码器 索引 【必读】固顶帖011号
查看: 4757|回复: 3

在迅雷下载资源谨防木马及恶意软件!

[复制链接]

9333

威望

822

金钱

1万

贡献

管理员

自由的灵魂

积分
100462
主题
5590
回帖
26311
注册时间
2003-4-10
最后登录
2024-11-25
发表于 2007-5-27 12:44:35 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

×

案例:


<a href="http://wstatic.xunlei.com/content/7776772FDA75D8A63B58E0F7EA29BE6068AD4C2E.html">美萍网管大师破解版</a> - 迅雷下载


资源介绍页面:


<a href="http://wstatic.xunlei.com/content/7776772FDA75D8A63B58E0F7EA29BE6068AD4C2E.html">http://wstatic.xunlei.com/content/7776772FDA75D8A63B58E0F7EA29BE6068AD4C2E.html</a>


下载页面:


<a href="http://pub.xunlei.com/fcg-bin/cgi_download.fcg?cid=7776772FDA75D8A63B58E0F7EA29BE6068AD4C2E">http://pub.xunlei.com/fcg-bin/cgi_download.fcg?cid=7776772FDA75D8A63B58E0F7EA29BE6068AD4C2E</a>


文件实际地址:


<a href="http://www.homedown.cn/setup.exe">http://www.homedown.cn/setup.exe</a>


<font color="#ff0000">下载下来的EXE文件实际上是一个WINRAR自解压压缩文件包,伪装成安装图标,诱惑网友点击。其内容包括3个文件:</font>


<font color="#ff0000">ad1359.exe

dodolook212.exe

tshz103.exe</font>


===================================

压缩包的注释脚本如下(<font color="#00aa00">括号中为IsaacZ添加的注释</font>):

===================================

;下面的注释包含自解压脚本命令


Path=C:/Program Files/ <font color="#5ea25e"><font color="#009900">(解压路径为 C:/Program Files/ )</font>

</font>SavePath

setup=tshz103.exe <font color="#008800">(执行安装tshz103.exe)</font>

setup=ad1359.exe <font color="#009900">(执行安装ad1359.exe)</font>

setup=dodolook212.exe <font color="#009900">(执行安装 dodolook212.exe)</font>

Silent=1 <font color="#ff0000">(安装时不提示,在后台悄悄进行,这一招够狠,盗贼本质显露无疑!)</font>

Overwrite=1 <font color="#009900">(覆盖旧有安装)</font>


=====================================


IsaacZ在4月11日便发现此页面上的下载存在欺骗行为,便尝试将此软件下载下来,当时它的名称是“OFFICE秘密万能破解器”,现在IsaacZ用迅雷的“浏览引用页”功能回溯到当初的下载页面,发现软件名称竟然改成了“<a href="http://wstatic.xunlei.com/content/7776772FDA75D8A63B58E0F7EA29BE6068AD4C2E.html">美萍网管大师破解版</a>”,过一段时间又不知道会改成什么。


其欺骗本质不言而喻!


欺骗方法:


<ol>
<li>利用迅雷下载资源站的知名度和用户忠诚度使你几乎不设防。</li>
<li>给下载资源起一个非常具有诱惑性的名字,诱使你点击下载。</li>
<li>软件本身起名使用毫不起眼的setup.exe,消除你的戒心。</li>
<li>用普通安装文件的图标遮掩其多个木马集成于一个压缩包的内在本质。</li></ol>

防骗手段:


<ol>
<li>在下载之前先看看软件的大小和你预期的软件大小是否一致,一般病毒或木马都比较小巧,通常小到几十K,大也就是几兆。</li>
<li>下载下来之后,右键点击它,查看其属性,一般的软件都会在常规右边的第二项有一个“版本”选项卡,如果没有,就要小心对待。</li>
<li>机器上要安装经典压缩软件WinRAR,这样通过查看属性可以马上识别出伪装成EXE文件的压缩包文件。</li>
<li>机器上务必安装一款不错的杀毒软件,升级到最新病毒库,并时刻开启病毒防火墙,这样做的好处是:

1、如果下载的文件本身带毒,可被立即清理。

2、对于隐藏在压缩包里的病毒,因为防火墙一般都监视系统临时文件夹,在文件被解压后也会立刻清理有毒文件。

3、即使木马被释放,在木马连接外部网络时,也会被防火墙所拦截,使木马失去作用,变成死马。</li></ol>

如果从以上几个方面均无法辨别,打算实地测试安装一下,务必遵循以下建议:


<ol>
<li>如上第4条,安装最新杀毒软件并开启防火墙。</li>
<li>用一键还原精灵、一键GHOST等系统备份软件在测试前为系统分区作好完整的备份,这样即使不小心沾染厉害的病毒,也可以在几分钟内恢复到原来的干净状态。</li>
<li>在测试安装前务必关闭除杀毒软件以外的所有正在运行的程序,使得你对此软件的安装过程的判断不受到任何其他软件的干扰。</li>
<li>在开始测试安装前打开任务管理器,点击“进程”选项卡,按“用户名”排列所有进程,假设当前用户名为“IsaacZ”,则使IsaacZ排列在上端。</li>
<li>双击文件开始测试,任务管理器中会立即加入用户名为“IsaacZ”的与文件名同名的进程。在此进程进入列表后的几秒钟内密切注意任务管理器列表中的进程数量是否产生变动。

1、如果没有任何变动,且出现了预期的软件安装向导界面,则问题可能不大;

2、如果突然涌出数个陌生进程,CPU占用率窜高,系统变慢,且突然防火墙报告有陌生软件试图添加自启动列表项目或拦截到某陌生软件通过某端口连接外网的请求,则应迅速杀掉所有新出现的进程,并对任何试图连接外网的软件打上永久“禁止”的标记。</li>
<li>安装好后,确认无事则罢,有事则视其严重程度或修复、或还原。</li></ol>
[此帖子已经被作者于2008-8-14 7:52:48编辑过]
IsaacZ的发言中如果提到任何字母缩写或专有名词,在本论坛中一般都能搜索到。点此立即搜索点拨论坛。如有搜索不到的,请尝试搜索百度百科,或者跟帖提问。
发帖前请注意看置顶帖。如果你发现自己的问题没有得到回答,说明你的问题提错了地方或者提问前未先阅读版规。

0

威望

213

金钱

10

贡献

初级会员

积分
263
主题
2
回帖
15
注册时间
2008-7-6
最后登录
1970-1-1
发表于 2008-8-14 13:19:16 | 显示全部楼层
怎么没东西的。。
回复

使用道具 举报

9333

威望

822

金钱

1万

贡献

管理员

自由的灵魂

积分
100462
主题
5590
回帖
26311
注册时间
2003-4-10
最后登录
2024-11-25
 楼主| 发表于 2008-8-14 21:53:19 | 显示全部楼层
有东西,被我屏蔽了。现在和大家分享。
IsaacZ的发言中如果提到任何字母缩写或专有名词,在本论坛中一般都能搜索到。点此立即搜索点拨论坛。如有搜索不到的,请尝试搜索百度百科,或者跟帖提问。
发帖前请注意看置顶帖。如果你发现自己的问题没有得到回答,说明你的问题提错了地方或者提问前未先阅读版规。
回复

使用道具 举报

0

威望

200

金钱

2

贡献

初级会员

积分
210
主题
0
回帖
103
注册时间
2012-7-14
最后登录
2012-7-14
发表于 2012-7-14 06:24:00 | 显示全部楼层
现在木马是多,该小心
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|点拨论坛 |网站地图

GMT+8, 2024-11-25 11:43 , Processed in 0.073615 second(s), 3 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表