bdxuelang 2008-8-28 11:35
新浪也流氓?—新浪UT Game分析
分析原因:在sina下了一个QQ火线,安装之后竟然莫名其妙多了一个iGame,还找不到卸载方式。当时就直接删除了文件,第二天重启发现竟然还有igame的自启动项,于是留了个心眼,来分析下新浪的UTGame
[size=10.5pt][font=宋体]环境 [/font][/size][size=10.5pt]VMware XPSP2 +InstallWatch +SSM[/size]
[size=10.5pt]
[size=10.5pt][font=宋体]软件版本:新浪UT Game 4.2正式版[/font][/size]
[/size]
[size=10.5pt][size=10.5pt][font=宋体]首先来安装一下,看下生成了那些文件:[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]C:\Program Files\sina[font=宋体](该文件夹文件较多,且不是分析重点,故不详细列出)[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt]C:\Program Files\Common Files\iGame [/size][size=10.5pt]1KB[/size]
[size=10.5pt]C:\Program Files\Common Files\iGame\Avatar[/size]
[size=10.5pt]C:\Program Files\Common Files\iGame\Avatar\AvatarDisplay.dll [/size][size=10.5pt]213KB[/size]
[size=10.5pt]C:\Program Files\Common Files\iGame\Avatar\DSETUP.dll [/size][size=10.5pt]36KB[/size]
[size=10.5pt]C:\Program Files\Common Files\iGame\Avatar\filter.bcd [/size][size=10.5pt]12KB[/size]
[size=10.5pt]C:\Program Files\Common Files\iGame\Avatar\vssver.scc[/size][/size]
[size=10.5pt]
[size=10.5pt]C:\WINDOWS\NMWizardA14.exe[/size]
[size=10.5pt]C:\WINDOWS\system32\NMChatX.ocx[/size]
[size=10.5pt]C:\WINDOWS\system32\NMGameX.dll[/size]
[size=10.5pt]C:\WINDOWS\system32\NMStarterA14.dll[/size]
[size=10.5pt]C:\WINDOWS\system32\SinaProc327.exe[/size]
[size=10.5pt]201KB[/size]
[size=10.5pt]A[/size]
[size=10.5pt]2007-8-13 11:15:26[/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]添加的注册表项目也太多,见附件。[/font][/size][size=10.5pt][/size]
[/size]
[[i] 本帖最后由 bdxuelang 于 2008-8-28 11:40 编辑 [/i]]
bdxuelang 2008-8-28 11:37
[size=10.5pt]OK[font=宋体],现在我们打开控制面板,用该程序提供的卸载程序卸载,此时用InstallWatch作快照分析[/font][/size]
[size=10.5pt][size=10.5pt][font=宋体]发现一个很奇怪的现象:[/font][/size][size=10.5pt][/size]
[size=10.5pt][font=宋体]只删除了下面两个文件夹的文件[/font][/size][size=10.5pt][/size]
[size=10.5pt]C:\Program Files\sina\ [font=宋体]中的文件[/font][/size][size=10.5pt][/size]
[size=10.5pt]C:\Documents and Settings\All Users\[font=宋体]「开始」菜单 中的快捷方式[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]其他文件了?进目录看一下,发现都还健在。难道是重启后删除?[/font][/size]
[size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]然后对比下安装添加的注册表项和卸载删除的注册表项,数目差距是在太大,就不一一列举了,列表在附件中[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]但卸载之后没删除的一项引起了我的好奇心[/font][/size][size=10.5pt][/size]
[size=10.5pt]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[/size]
[size=10.5pt]NMGameX_AutoRun[/size]
[size=10.5pt]"C:\WINDOWS\system32\Rundll32.exe NMGameX.dll,LiveProcess /aa"[/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]卸载之后还有自启动项?[/font][/size][size=10.5pt][/size]
[/size]
bdxuelang 2008-8-28 11:55
重启一下,[size=10.5pt][font=宋体]看图,我就不多说了[/font][/size][size=10.5pt][/size]
[size=10.5pt][/size]
[size=10.5pt][font=宋体]再看,文件和自启动项目仍然健在[/font][/size][size=10.5pt][/size]
bdxuelang 2008-8-28 12:17
在使用UT Game自身提供的卸载程序卸载之后。iGame和该程序释放在system32目录下的文件仍然存在,在WINOWS目录下释放的可执行文件也还健在。添加的开机自启动也依然存在
在用户开机的时候就会调用,通过该启动项来启动c:\WINDOWS\system32\NMGameX\iLobbyUpdater\目录下的ilobbyupdater117.exe的文件。
由于是简单分析,就没详细分析ilobbyupdater117.exe这个程序的代码。不过就算该文件正常,UTGame的这种行为也与流氓软件无异了
ksdb118 2008-8-28 12:42
难道这就是所谓的 360 帮着新浪加工的新一代 流氓软件?
善赏使 2008-8-28 12:45
新浪uc里面早有了,用金山清理专家能删除
171425019 2008-8-28 12:51
我从不用这些~~~~
bdxuelang 2008-8-28 13:13
[quote]原帖由 [i]171425019[/i] 于 2008-8-28 12:51 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3421986&ptid=21969586][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
我从不用这些~~~~ [/quote]
我也是从来没用过。前两天在sina下载了QQ火线的安装包安装,装完发现竟然多了个UTGame 然后igame还没卸载方式。及其不爽,于是今天简单分析了下
今天有看了下那个安装包,发现在安装UTGame的时候完全没有任何提示
而且新浪还蛮贱的,把QQ的穿越火线文件和UTGame重新封包之后用了Sina的数字签名。粗略看还以为是有腾讯数字签名的的原版安装包。
以后那些喜欢在新浪下软件的看来是要注意了
而且刚刚又跑了下那个QQ穿越火线的安装包,发现没有任何提示,偷偷装了UTGame
酷B棉球 2008-8-28 13:45
太深奥了。。。。
编号 2008-8-28 15:57
还没有被证实吧,新浪应该没有必要这样做的,慢慢看
很过瘾 2008-8-28 16:14
不可能吧,会不会又是某个造谣群体故意发布的啊,呵呵
烧开水 2008-8-28 16:26
呵呵,只知道搜狗流氓,还没有听说新浪流氓的.
bdxuelang 2008-8-28 20:35
[quote]原帖由 [i]很过瘾[/i] 于 2008-8-28 16:14 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3422866&ptid=21969586][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
不可能吧,会不会又是某个造谣群体故意发布的啊,呵呵 [/quote]
这个是我今天自己测的,和媒体啥的无关。主要是最开始在sina下QQ火线(腾讯要下专门的下载器,觉得麻烦)然后给我偷偷装了个UTGame,搞得我很不爽,
于是今天专门在官网下了个UTGame分析了下。你有兴趣的话我可以把所有截图都给你,当然你也可以自己下一个试试就知道了
[[i] 本帖最后由 bdxuelang 于 2008-8-28 20:37 编辑 [/i]]
bdxuelang 2008-8-28 20:39
[quote]原帖由 [i]编号[/i] 于 2008-8-28 15:57 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3422801&ptid=21969586][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
还没有被证实吧,新浪应该没有必要这样做的,慢慢看 [/quote]
呵呵,这个是我自己做的测试,不是转帖,应该不存在有没有证实一说了。
帅得不敢上街 2008-8-28 21:15
新浪果然很邪恶的说,卸载了竟然开机运行程序自我修复{yct39}
ksdc0274119 2008-8-28 21:25
很早就有了,不过清理专家能删掉就不太在意了
病毒终结杀手 2008-8-28 22:01
不错
xiuxingzhe 2008-8-28 23:57
[quote]原帖由 [i]病毒终结杀手[/i] 于 2008-8-28 22:01 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3423797&ptid=21969586][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
不错 [/quote]恩
编号 2008-8-29 17:55
楼上的高人们,我装了SOHU的话天龙八部游戏后,也出现了一个叫P2PSVR.EXE的东东,天天随机启动,删除不了啊。
很过瘾 2008-8-29 20:49
搜狐的流氓软件不少啊,网站的弹窗广告也让人讨厌
bdxuelang 2008-8-29 21:39
[quote]原帖由 [i]编号[/i] 于 2008-8-29 17:55 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3426668&ptid=21969586][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
楼上的高人们,我装了SOHU的话天龙八部游戏后,也出现了一个叫P2PSVR.EXE的东东,天天随机启动,删除不了啊。 [/quote]
这个看名字的话貌似是搜狗地址栏的东东,不知道是不是
你看下你系统中有没有
C:\Program Files\P4P\这个文件夹
有的话找到在其中找到C:\Program Files\P4P\Uninstall.exe这个文件,运行下
这个是他的卸载程序
okhqyes 2008-8-31 09:59
从来不用
lijiawen13 2008-9-11 12:02
下载游戏尽量去官方网站!
页:
[1]
