|
|
楼主 |
发表于 2008-8-4 08:00:44
|
显示全部楼层
|阅读模式
来自 河南省商丘市
软件名称:金山毒霸2008套装
发送用户软件的进程:KPFW32.EXE
测试的软件: RemoteABC.exe可能还有其它的控制台也会被盗用
发现过程: 开启网络抓包软件进行监控,想分析一下RemoteABC的通信数据
RemoteABC.exe启动时,没有发现有数据流,然后进行登陆测试
输入用户名与口令后,出现了RemoteABC进程的数据流!
这时发现有KPFW32.EXE出现大量数据流,觉得很奇怪.
经过分析这些数据流发现以下行为:
1 首选向 sc-q.duba.net 80端口发送 query 请求, 其中用BASE64编码的请求中含有MD5
2 接收服务器返回,如果数据库中没有这个MD5(即为新软件),则要求发送,否则到此打住!
3 向sc-u.duba.net 80端口上传RemoteABC.exe软件,发送是经过ZIP压缩后的!看包发现里面就有RemoteABC.exe文件名
发现这个情况后,再次启动RemoteABC.exe则没有出现以上现象,显然金山在本地保留有软件的MD5值,如已经上报就不报了
遂换了一个版本的RemoteABC,则出现上述情况,立即上报!
为了证实是否是与文件名有关,即将一个有网络访问的软件,改名为RemoteABC.exe运行,则上述情况出现
将RemoteABC改成其它名字运行,则不会上报!
显然是与文件名相关!
应对办法! 所有的远控控制台都不要用默认的文件名运行,改成其它名字
大家可以测试一下其它远控,是否有这种状况!
金山用此下流手法太恶心了 |
|
发表于 2008-8-4 08:06:35
