请袈裟大师来分析一下阿里旺旺

Phillip

路边社特邀围观群众

1楼 大 中 小 发表于 2010-8-27 18:17 只看该作者

请袈裟大师来分析一下阿里旺旺

上网搜了一下”阿里旺旺 扫描”关键词, 发现有人说诺顿, NOD32, 卡巴斯基, 甚至360都会报告有木马/蠕虫或者其他什么东西

http://iask.sina.com.cn/b/17330454.html?retcode=0

http://zhidao.baidu.com/question/168331857.html

http://help.360.cn/5030806/36927816.html

显然不是误报.

我用avast扫描, 并没有报毒.

但是阿里旺旺安装的时候, COMODO显示其安装程序会向system32目录添加一些文件, 一个IM为啥要往那地方装东西? 很值得怀疑啊.

现在网上关于QQ扫描上传的问题有很多揭露, 但是对阿里旺旺好像没什么人研究过.

因为网页版旺旺实在太垃圾总是用不了, 所以只好安装客户端.

请各位大师解剖一下这个东西!

---

Terminusbot 整理，讨论请前往 2049bbs.xyz

---

DuGuQiuBai

2楼 大 中 小 发表于 2010-8-27 18:34 只看该作者

记得以前安装 Spyware Doctor 后，运行QQ会报告，不过一直用网页旺旺

Angelo

3楼 大 中 小 发表于 2010-8-27 18:50 只看该作者

也有可能是針對旺旺的木馬啊～

向system32添加文件也不奇怪的啊，動態鏈接、安裝信息、語言支持、包括幫助文件都放在這裏的啊

Angelo

4楼 大 中 小 发表于 2010-8-27 18:52 只看该作者

http://www.it.com.cn/edu/softhot … 5/21/09/806495.html

Phillip

路边社特邀围观群众

5楼 大 中 小 发表于 2010-8-27 19:49 只看该作者

回复 3楼 Angelo 的话题

阿里旺旺是国内仅次于QQ的第二大IM软件, 可对其所知甚少, 不得不防啊.

rosemad

6楼 大 中 小 发表于 2010-8-27 20:03 只看该作者

最近网页版做的好多了

Phillip

路边社特邀围观群众

7楼 大 中 小 发表于 2010-8-27 20:20 只看该作者

回复 6楼 rosemad 的话题

但是我无论用什么内核的浏览器都无法正常使用网页的旺旺

Angelo

8楼 大 中 小 发表于 2010-8-27 21:08 只看该作者

回复 5楼 Phillip 的话题

不知道在旺旺上說敏感詞的多不多啊

Phillip

路边社特邀围观群众

9楼 大 中 小 发表于 2010-8-27 21:42 只看该作者

回复 8楼 Angelo 的话题

那就不知道了. 那上面应该都是谈生意的

daxia

Get off the internet, I’ll see you in the streets!

10楼 大 中 小 发表于 2010-8-27 22:08 只看该作者

参考一下，要翻墙。

http://tinyurl.com/2bldjgk

Phillip

路边社特邀围观群众

11楼 大 中 小 发表于 2010-8-27 22:24 只看该作者

回复 10楼 daxia 的话题

除了彻底系统隔离之外有没有什么有效的控制手段? 比如沙盘?

daxia

Get off the internet, I’ll see you in the streets!

12楼 大 中 小 发表于 2010-8-27 22:39 只看该作者

虚拟机和沙盘，可行。

Phillip

路边社特邀围观群众

13楼 大 中 小 发表于 2010-8-27 23:11 只看该作者

回复 12楼 daxia 的话题

看来虚拟机是最靠谱的了. 现在我的qq就关在虚拟机里.

Angelo

14楼 大 中 小 发表于 2010-8-28 00:14 只看该作者

引用:

原帖由 Phillip 于 2010-8-27 21:42 发表

那就不知道了. 那上面应该都是谈生意的

我早就是鉆石級的買家了，從來沒說過不和諧的話～因為那上面不賣不和諧的東西～

Phillip

路边社特邀围观群众

15楼 大 中 小 发表于 2010-8-28 00:36 只看该作者

回复 14楼 Angelo 的话题

谁没事也不会上那上面聊天的, 都是买东西才想起来这事. 不过要说不和谐的东西还是有的, 比如SSH和VPN帐号.

还有就是国外服务器网游的点卡被禁止交易了, 只是如果私下商量仍旧可以买.

库存袈裟

@bruceku 想象力比知识更重要。

16楼 大 中 小 发表于 2010-8-30 10:32 只看该作者

回楼主，尚未有时间对其研究，但大多数后门并非病毒。安全系数较低的系统中，常规的磁盘扫描注册表，偷偷上传杀毒软件会判定为“正常”不做反应，较严格的判定其为spyware。

有时间的同学可以下个process monitor，装个VM，在VM中装个阿里旺旺，使用process monitor监控其行为。

Phillip

路边社特邀围观群众

17楼 大 中 小 发表于 2010-8-30 10:58 只看该作者

回复 16楼 库存袈裟 的话题

大师终于现身了.

那个processmon实在太蛋疼了, 看得眼花缭乱, 因为还有系统其他程序也在被监控着, 混在一起. filter还没研究怎么用.

之前在虚拟机里拿这个监视过腾讯TM, 结果看了半天除了在自己文件夹范围内的文件操作之外没有发现对其他区域的操作, QQ就没试过. 阿里旺旺也看过一阵,

除了自己那几个文件操作没看到其他路径的行为, 不知是不是我哪个监控没开呢.

库存袈裟

@bruceku 想象力比知识更重要。

18楼 大 中 小 发表于 2010-8-30 11:15 只看该作者

回复 17楼 Phillip 的话题

火速VM装了个XP使用阿里旺旺并监控进程，未发现异常扫描。

Phillip

路边社特邀围观群众

19楼 大 中 小 发表于 2010-8-30 12:34 只看该作者

回复 18楼 库存袈裟 的话题

好吧 姑且先认为是没问题的.