不可思议的恶意软件过了卡巴的HIPS

牧羊老汉

我还想知道卡巴的HIPS为什么要把它添加到信任组？？？？？？
minchaovip 发表于 2010-1-3 20:53

在8楼第四行开始，已经回答了你。

悠柚

回复 9# minchaovip


   

百度工具栏由于河蟹的原因，卡巴是睁一只眼闭一只眼的......

纯引用自己的东西应该没事吧，懂了吧，叫潜规则......

yyylll66

此样本就是http://w.ssddffgg.cn/me.exe样本！

一个百度工具条，恶意流氓软件！

创建

C:\Documents and Settings\Administrator\Application Data\AddressBar文件夹
文件：iexp.dat  addrlib.dat  292FD85531CC4b7788475270B6F63415.db和一个ASBar_DownloadTmp文件夹（里面有文件version.xml）

在Program Files创建baidu文件夹，里面包含2个文件夹AddressBar和AddressBar_Tmp
其中AddressBar下有文件
ASBarBroker.exe和AddressBar.dll
AddressBar_Tmp文件夹下有文件
AddressBar.dll

收藏夹里Favorites\链接\百度.url

注册表

创建HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B8E20CD7-BAC2-4820-9AA6-1060B3AF25E2}
"DefaultScope"="{B8E20CD7-BAC2-4820-9AA6-1060B3AF25E2}"
{B8E20CD7-BAC2-4820-9AA6-1060B3AF25E2}]
"DisplayName"="百度一下，你就知道"
"FaviconURL"="http://www.baidu.com/favicon.ico"
"SuggestionsURL_JSON"="http://suggestion.baidu.com/su?wd={searchTerms}&action=opensearch&ie={inputEncoding}&from=ie8"
"URL"="http://www.baidu.com/s?wd={searchTerms}&ie={inputEncoding}&oe={outputEncoding}&abar=2&tn=bd1001_dg&ch=1"

和一个bho：{00000000-0593-4356-9CF7-1D8C2B3343C0}
"NoExplorer"=dword:00000001
"id"="AddressBar"

minchaovip

谢谢 了 这么多好心人帮我  谢谢大家了

牧羊老汉

回复 14# minchaovip

确实是属于流氓软件，但对电脑也没什么大危害了，谈不上是病毒。找个辅助工具清理掉就是了。
但就象很多坛友说的那样，面对百度这样有影响力的公司，卡巴想在中国大陆混，也只能和谐了，就算你把这个文件上报给卡巴去分析，回信也是告诉你：没恶意代码（我是试过的，只不过我上报的那文件有个百度的图标而已）

gsl9583306

这个说不上是病毒了。。

jason_jiang

算是个PUA
引用AVC的原话

近年来，互联网上传播的广告软件、间谍软件、流氓软件、欺诈软件出现了显著增长。这些软件不属于典型的恶意软件，为它们分类定性不是一件容易的事。我们通常称之为“可能不需要的软件（或译为“潜在不受欢迎的软件”，potentially unwanted application，PUA）”。在特定条件下，某些PUA在某些国家是被接受或需要的，这和文化背景、法律体系都有关。有时，围绕一个程序是不是恶意软件这个问题，还会引起法律上的争论。“可能不需要的”或“潜在不受欢迎的”这个词，就覆盖了这个灰色地带。

暮雨

我还想知道卡巴的HIPS为什么要把它添加到信任组？？？？？？
minchaovip 发表于 2010-1-3 20:53

    楼主卡巴交互模式是不是选择了自动操作？？？

sivrll

回复 1# minchaovip


    过小红伞了，但我直接运行时被360安全卫士拦截了，注意：是360安全卫士，不是360杀毒，我没有装360杀毒。另外，我装了微点也没有动静。

wsc47621

TO ESET