搜索
楼主: Sept.
收起左侧

[可疑文件] 雷鸟下载

  [复制链接]
f59375443
发表于 2020-10-7 17:10:18 | 显示全部楼层
@火绒工程师   所以火绒官方不回应一下吗?
人生意义
发表于 2020-10-7 17:59:30 | 显示全部楼层
昨晚逛头条,无意间浏览到这个帖子,惊出一身冷汗,因为我用雷鸟下载差不多半年多了。
怀着忐忑的心情,花了近一天反复确认软件的安全性,因为这个对我很重要,我一直都是用的正式云盘账号登录使用的。
现在,差不多可以得出结论了,所以,特意注册了论坛账号,与诸位分享,目的是让朋友们看看我有没思考落下的地方。
先引用雷鸟官方在Github上的文字说明:
========================
源码释放说明:
1、源码释放的目的是让所有人清楚地看到在雷鸟下载中,引发360等安全软件告警的是哪些操作,其后的源码是什么样的,以解除大家的困扰。 你们可以看到,编译后的exe在单独执行时(非VS开发环境下),360会对其警告提示,甚至偶尔极端情况下,直接提示木马病毒,要求清除掉, 但其实后台代码啥都没做!这就是所谓的安全软件干的勾当!
2、界面设计用到了 DSkin界面库,各位在没有开发库授权的情况下,无法直接打开窗体设计器进行查看(否则会自动退出VS环境),所以直接查看代码,即可。
3、你可以对源码进行修改、编译、运行,其目的是验证(证明)雷鸟源码的安全性,并不意味着授权你基于此框架,进行二次开发,或借助雷鸟之名,发布软件。
4、出于保护软件未来持续可用的考虑,下载功能实现部分的源码未做放出,相信大家可以理解,除非您是想让雷鸟 “从开源,到窒息”,o(╯□╰)o 。
官网地址:http://www.thunderbird.bar
下载地址:https://www.lanzoux.com/b01bdspaj
重要说明:此Github站点,不作任何交流与答疑工作,有任何问题,请访问在线网址——http://www.thunderbird.bar
==========
再补充详细点:
1、为什么要求管理员权限运行?
原因:一,确保能顺利读写软件自身的配置文件。避免在非管理用户状态下,软件下载后被无意中置于一些要求管理员权限才能读写的路径,导致配置文件更新失败;二,读取系统中不同文件类型注册的默认图标,使得云盘浏览时文件图标显示正确。
2、软件运行过程中,为何会默认关掉网络分析相关的应用?
原因:确保雷鸟下载的网络服务接口不被抓包、针对,尽管可能意义不大,o(╯□╰)o。
3、为何在点击登录时,会显示警告“有程序正在进行可疑操作...目标文件:.....rundll32.exe 程序正在进行远程线程注入”?
原因:在软件官网 https://www.kancloud.cn/myzfb/thunderbird/1761695 ,已经说得很清楚,这是因为打开登录页面时,软件开发用到了EO.WebBrowser浏览器组件,作为非360白名单中的浏览器软件联网访问网页时,都会有这样的警告,且访问HTTPS网址时,还会弹出“有程序正在修改受信证书发行者”警告,这一点疑问,自己下载雷鸟开源代码,看看编译结果运行时是不是会出现上述两个警告,再看看源码里啥操作都没有,自会明白。
==============================
从上边文字看,解释合情合理。但我们不能轻信,所以我做了这几样工作来论证。

1、我下载了它们的源码,按他们的说明,重现了“有程序正在进行可疑操作...目标文件:.....rundll32.exe 程序正在进行远程线程注入”和“有程序正在修改受信证书发行者”的警告,的确是因为EO.WebBrowser浏览器组件引起的警告,且非单针对登录页面发生,相应疑虑解除。
2、关于“默认关掉网络分析相关的应用”的解释,可能是实情,一个月前他们的服务器连续三天被人DDOS,后来他们换了IP,加了高防CDN,这个软件消息中曾经出过通告。但还是打消不了我的疑虑,我尝试了不同的安全软件,分析了它们的网络连接(仅是连接,非API接口), 没有发现问题,应该可信。如他们自己所言,他们这种防范手段的确很鸡肋,毫无意义。
3、参考其他饭友做法,将软件上传至微步云沙箱(真的很强!),做多引擎扫描查杀, https://w.url.cn/s/AXKDL1X,经微步云沙箱检测该文件为安全。但发现存在“释放了一个二进制文件并执行”的高危行为,在本地多次操作后发现,该行为出现在软件升级的时候。分析所释放的文件“FSLib.DeleteTmp_88628.exe”,根据特征字“FSLib”和软件伴随的dll文件,找到开源项目https://github.com/iccfish/FSLib.App.SimpleUpdater(一个.NET的在线升级库项目),自己动手,简单构建了个升级程序Demo,重现了软件升级时相同的临时文件释放与清理的行为,可知该行为系升级组件行为,高危行为疑虑解除。

就目前,各项实验分析结果,是可信的,心里算是踏实了。如果有考虑遗漏了的点,请各位朋友不吝赐教。

评分

参与人数 6人气 +14 收起 理由
a27573 + 3 精品文章
sunnyjianna + 3 精品文章
anthonyqian + 1 感谢提供分享
QVM360 + 2
YorkWaugh + 2 版区有你更精彩: )

查看全部评分

人生意义
发表于 2020-10-7 18:22:19 | 显示全部楼层
而且,启动软件后,初次点击页面访问(无论是登录,或是帮助页面),都会弹出“有程序正在进行可疑操作...目标文件:.....rundll32.exe 程序正在进行远程线程注入”警告,试试拒绝,即发现页面无法打开,显示空白状态。现象与官方说明一致。
swizzer
发表于 2020-10-7 22:16:57 | 显示全部楼层
本帖最后由 swizzer 于 2020-10-7 22:26 编辑
huang1111 发表于 2020-10-7 15:51
hello

首先第一个疑问,注入行为是否一定为恶意?

仅对第二个做一点补充。
来自https://www.wisevector.com/privacy/

如果您想测试WiseVector,您可以直接下载它,而不需要输入任何个人信息。试用行为是自愿的,您可以随时卸载它。

我们会在以下两种情况搜集您的个人信息:

a. 您自愿选择通过软件上报文件。

b. 如果您在软件中启用了“发送威胁数据以增强用户体验”选项:

1)当恶意程序触发了软件的高级威胁防御时,该程序将自动上传。

2)高级威胁防御的日志将自动上传。

上传时,我们会知道文件位置和您的IP地址。 文件位置可以使我们知道文件所属的系统文件夹,如果它们属于系统文件夹,则可能是恶意程序。 文件位置也可以帮助我们重现环境以进行测试。 您的IP地址可以使我们知道文件的GEO位置。 如果漏报或误报经常来自一个位置,我们将知道如何有针对性地改进WiseVector。


至于他们获取的日志究竟反应出样本的何种行为,目前不得而知。

人生意义
发表于 2020-10-7 22:42:57 | 显示全部楼层
swizzer 发表于 2020-10-7 22:16
仅对第二个做一点补充。
来自https://www.wisevector.com/privacy/

我做拦截分析,未发现有任何日志收集行为,应该是服务接口调用的误判。
swizzer
发表于 2020-10-7 22:50:57 | 显示全部楼层
人生意义 发表于 2020-10-7 22:42
我做拦截分析,未发现有任何日志收集行为,应该是服务接口调用的误判。

我目前倾向于怀疑智量误判。但是在相关报告出炉前一切均是未知数。
huang1111
发表于 2020-10-7 22:58:08 | 显示全部楼层
swizzer 发表于 2020-10-7 22:16
仅对第二个做一点补充。
来自https://www.wisevector.com/privacy/

这个选项是默认开启的么?如果是默认开启,那么在安装过程中是否会出现对应条款,如果没有出现,那么我觉得使用智量作为日常使用是一个很恐怖的事情,假设一个文档被宏病毒感染,被识别出来,那么似乎就会被自动上传机制上传,这个恐怕是用户无法接受的事情。
当然,如果这个选项并不是默认开启的情况,那么我对其“大量用户端”的相关言论表示怀疑,>50?500?5000?
swizzer
发表于 2020-10-7 23:02:26 | 显示全部楼层
huang1111 发表于 2020-10-7 22:58
这个选项是默认开启的么?如果是默认开启,那么在安装过程中是否会出现对应条款,如果没有出现,那 ...

默认开启。



仅有的提示。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hy_alvin
发表于 2020-10-7 23:03:57 | 显示全部楼层
在GITHUB上雷鸟官方更新了自述文件,针对这几个行为做了解释,各位怎么看
https://github.com/thunderbird-team/ThunderBird_OpenSource#readme
huang1111
发表于 2020-10-7 23:08:52 | 显示全部楼层

我对智量的看法又更新了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2021-2-27 03:13 , Processed in 0.104890 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表