图片浏览器IrfanView32

piku

家里和单位电脑常年裸奔。有一天偶然从路由器发现家里笔记本电脑乱发UDP数据包，看电脑又没什么端倪（现象符合G{过}F{滤}W监控个人电脑数据？）。于是除了路由器截流再就没管。

今天早上随便下载红伞扫了扫，说图片浏览软件IrfanView32主程序是TR/Buzus.Corp。

求真相。

https://www.virustotal.com/en/file/d3da2403b0633d0b478ddd1c51623457f122ff96cf3b065e376ffdecc753159d/analysis/1485307302/


链接: http://pan.baidu.com/s/1c1LQfr6 密码: 82e2

fireherman

提供安装包不是更好判断吗？

ESET miss

Live Grid [未收录/已上报]

心醉咖啡

毒霸扫描miss

linzh

ESET miss
话说楼主不要总想搞个大新闻，见的风就是雨的，要提高一下自己的姿势水平啊
G那个什么防火墙的还没监控厉害到那个程度，也不想想。。再说原理也不对啊

piku

fireherman 发表于 2017-1-25 10:42
提供安装包不是更好判断吗？

ESET miss

怀疑文件被篡改了

piku

linzh 发表于 2017-1-25 11:28
ESET miss
话说楼主不要总想搞个大新闻，见的风就是雨的，要提高一下自己的姿势水平啊
G那个什么防火墙的 ...

曾经看过一篇文章。里面的理论就是把电脑里的数据伪装成dns请求，然后向国外或不存在的dns服务器发这些请求包。这些特征包被网关截获拼合，就是电脑中的数据。
我不认为我一个windows server 2008 r2会有什么发udp的程序在运行。没百度没迅雷没数字的。一个月大概二百多M呢。

fireherman

piku 发表于 2017-1-25 11:37
怀疑文件被篡改了

你哪里下载的？如果是国内那些下载站，90%的都有问题。

此外，Windows自身的时间同步（time.windows.com）（UDP 123）、DNS域名剖析（UDP 53）等都需要UDP发送数据的。

使用UDP联网并不等于此程序就可疑，要看实际情况，它使用什么端口，访问什么IP等因素。

piku

fireherman 发表于 2017-1-25 12:37
你哪里下载的？如果是国内那些下载站，90%的都有问题。

此外，Windows自身的时间同步（time.win ...

hanzify下载的
路由监控已经排除了正常的udp端口
目标ip已经拦截了900多个，从1.到223.没什么规律。目标端口大多是 443 （udp/443？）
我觉得只有监控能解释这个现象了

轩夏

MSE 断网 miss