马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有账号?立即注册
×
案例:
<a href="http://wstatic.xunlei.com/content/7776772FDA75D8A63B58E0F7EA29BE6068AD4C2E.html">美萍网管大师破解版</a> - 迅雷下载
资源介绍页面:
<a href="http://wstatic.xunlei.com/content/7776772FDA75D8A63B58E0F7EA29BE6068AD4C2E.html">http://wstatic.xunlei.com/content/7776772FDA75D8A63B58E0F7EA29BE6068AD4C2E.html</a>
下载页面:
<a href="http://pub.xunlei.com/fcg-bin/cgi_download.fcg?cid=7776772FDA75D8A63B58E0F7EA29BE6068AD4C2E">http://pub.xunlei.com/fcg-bin/cgi_download.fcg?cid=7776772FDA75D8A63B58E0F7EA29BE6068AD4C2E</a>
文件实际地址:
<a href="http://www.homedown.cn/setup.exe">http://www.homedown.cn/setup.exe</a>
<font color="#ff0000">下载下来的EXE文件实际上是一个WINRAR自解压压缩文件包,伪装成安装图标,诱惑网友点击。其内容包括3个文件:</font>
<font color="#ff0000">ad1359.exedodolook212.exetshz103.exe</font>
===================================压缩包的注释脚本如下(<font color="#00aa00">括号中为IsaacZ添加的注释</font>):===================================;下面的注释包含自解压脚本命令
Path=C:/Program Files/ <font color="#5ea25e"><font color="#009900">(解压路径为 C:/Program Files/ )</font></font>SavePathsetup=tshz103.exe <font color="#008800">(执行安装tshz103.exe)</font>setup=ad1359.exe <font color="#009900">(执行安装ad1359.exe)</font>setup=dodolook212.exe <font color="#009900">(执行安装 dodolook212.exe)</font>Silent=1 <font color="#ff0000">(安装时不提示,在后台悄悄进行,这一招够狠,盗贼本质显露无疑!)</font>Overwrite=1 <font color="#009900">(覆盖旧有安装)</font>
=====================================
IsaacZ在4月11日便发现此页面上的下载存在欺骗行为,便尝试将此软件下载下来,当时它的名称是“OFFICE秘密万能破解器”,现在IsaacZ用迅雷的“浏览引用页”功能回溯到当初的下载页面,发现软件名称竟然改成了“<a href="http://wstatic.xunlei.com/content/7776772FDA75D8A63B58E0F7EA29BE6068AD4C2E.html">美萍网管大师破解版</a>”,过一段时间又不知道会改成什么。
其欺骗本质不言而喻!
欺骗方法:
<ol>
<li>利用迅雷下载资源站的知名度和用户忠诚度使你几乎不设防。</li>
<li>给下载资源起一个非常具有诱惑性的名字,诱使你点击下载。</li>
<li>软件本身起名使用毫不起眼的setup.exe,消除你的戒心。</li>
<li>用普通安装文件的图标遮掩其多个木马集成于一个压缩包的内在本质。</li></ol>
防骗手段:
<ol>
<li>在下载之前先看看软件的大小和你预期的软件大小是否一致,一般病毒或木马都比较小巧,通常小到几十K,大也就是几兆。</li>
<li>下载下来之后,右键点击它,查看其属性,一般的软件都会在常规右边的第二项有一个“版本”选项卡,如果没有,就要小心对待。</li>
<li>机器上要安装经典压缩软件WinRAR,这样通过查看属性可以马上识别出伪装成EXE文件的压缩包文件。</li>
<li>机器上务必安装一款不错的杀毒软件,升级到最新病毒库,并时刻开启病毒防火墙,这样做的好处是:1、如果下载的文件本身带毒,可被立即清理。2、对于隐藏在压缩包里的病毒,因为防火墙一般都监视系统临时文件夹,在文件被解压后也会立刻清理有毒文件。3、即使木马被释放,在木马连接外部网络时,也会被防火墙所拦截,使木马失去作用,变成死马。</li></ol>
如果从以上几个方面均无法辨别,打算实地测试安装一下,务必遵循以下建议:
<ol>
<li>如上第4条,安装最新杀毒软件并开启防火墙。</li>
<li>用一键还原精灵、一键GHOST等系统备份软件在测试前为系统分区作好完整的备份,这样即使不小心沾染厉害的病毒,也可以在几分钟内恢复到原来的干净状态。</li>
<li>在测试安装前务必关闭除杀毒软件以外的所有正在运行的程序,使得你对此软件的安装过程的判断不受到任何其他软件的干扰。</li>
<li>在开始测试安装前打开任务管理器,点击“进程”选项卡,按“用户名”排列所有进程,假设当前用户名为“IsaacZ”,则使IsaacZ排列在上端。</li>
<li>双击文件开始测试,任务管理器中会立即加入用户名为“IsaacZ”的与文件名同名的进程。在此进程进入列表后的几秒钟内密切注意任务管理器列表中的进程数量是否产生变动。1、如果没有任何变动,且出现了预期的软件安装向导界面,则问题可能不大;2、如果突然涌出数个陌生进程,CPU占用率窜高,系统变慢,且突然防火墙报告有陌生软件试图添加自启动列表项目或拦截到某陌生软件通过某端口连接外网的请求,则应迅速杀掉所有新出现的进程,并对任何试图连接外网的软件打上永久“禁止”的标记。</li>
<li>安装好后,确认无事则罢,有事则视其严重程度或修复、或还原。</li></ol>
[此帖子已经被作者于2008-8-14 7:52:48编辑过] | 
IP卡
狗仔卡
发表于 2007-5-27 12:44:35
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2008-8-14 13:19:16
