惊天大密秘!金山毒霸会盗取用户的远控软件pc软件 文章资讯 手机软件

您当前的位置→图文中心新闻资讯业界快讯惊天大密秘!金山毒霸会盗取用户的远控软件

惊天大密秘!金山毒霸会盗取用户的远控软件


2009/2/26  编辑:佚名 来源:本站整理  关键词:

惊天大密秘!金山毒霸会盗取用户的远控软件

 

惊天大密秘!金山毒霸会盗取用户的远控软件
软件名称:金山毒霸2008套装
发送send用户软件的进程:KPFW32.EXE

测试的软件: RemoteABC.exe  有可能还是有其它的控制台也会被盗用

发现过程: 启动网络net抓包软件来进行监控,想分析一下RemoteABC的通信数据信息

RemoteABC.exe启动时,没有发现有数据信息流,之后来进行登陆测试

输入用户名与口令后,出现了RemoteABC进程的数据信息流!
这时发现有KPFW32.EXE出现大量数据信息流,觉得很奇怪.
经过分析这些数据信息流发现以下行为:
1 首选向 sc-q.duba.net 80端口发送send query 请求, 其中用BASE64编码的请求中含有MD5
2 接收服务器返回,如果数据信息库中没有这个MD5(即为新软件),则要求发送send,否则到此打住!
3 向sc-u.duba.net 80端口上传RemoteABC.exe软件,发送send是经过ZIP压缩后的!看包发现里面就有RemoteABC.exe文件程序名

发现这个情况后,再次启动RemoteABC.exe则没有出现上面现象,显然金山就在本地保留有软件的MD5值,如已经上报就不报了
遂换了一个版本的RemoteABC,则出现上述情况,立即上报!

为了证明是否是与文件程序名有关联,即将一个有网络net访问的软件,改名为RemoteABC.exe运行,则上述情况出现
将RemoteABC改成其它名字运行,则将不会上报!
显然是与文件程序名相关!

应对办法!     所有的远控控制台都一定不要用默认的文件程序名运行,改成其它名字
大家可以能够测试一下其它远控,是否有这种状况!

金山用此下流手法太恶心了!

相关文章
  • 王者荣耀9:74竟然翻盘?绝对的惊天大逆转
  • 南极发现外星人惊天秘密,2000多人神秘失踪!真相太震惊了
  • 至今无解的25大千古奇谜,竟然与外星人有着这样惊天的秘闻
  • 20年,人类能量层级惊天跃升
  • 【北极巨穴藏惊天秘密?】或有另一个地球存在?
  • 秦始皇陵十大惊天谜团
  • 【外星人驾太空船登月】月球背面竟隐藏惊天的秘密!
  • 关于外星人的20个惊天事实
  • 什么!高血压竟然是一场百年大骗局?西医不告诉你的医学惊天秘密…
  • 神界浩劫之惊天变1.2元旦版隐藏英雄密码公布
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图