小编发现一个动向,CNNIC正对新发布的版本进行短暂洗白,他们自动升级了新发布的客户端,销毁了它带的所有保护性驱动,估计此举是为了避免在两会期间被有心人抓住机会被政府制裁吧.大家可以自行证实:
1、CNNIC强制升级了新发布的客户端,强制删除它自身带有的保护型驱动,这其中就包括臭名昭著的fsd inlinehook技术.充分证明现在的流氓软件有足够的能力,短时间内销毁自己作恶的证据,因此,恶意软件从技术上是很难判定的,用一个版本洗白,或者用一个时间段洗白,然后享受作恶带来的胜利果实,是恶意软件制作者的如意算盘!
2、从技术角度上说,随意的增加或者取消系统底层驱动,都可能给用户的机器带来灾难性的后果,如蓝屏,无法进入系统等.CNNIC为一己私立,置用户利益于不顾,爱加则加,爱删则删,完全违背了国家主管机构的初衷.用户的机器被这样不负责任的软件控制,相当危险.
具体跟踪到的过程如下:
CNNIC中文上网于3-14 13:23:51更改了其升级配置文件
cdnvers.dat
对其进行比较后发现
更新部分为将以下几个文件的版本号清零:
cdnns.dll 原版本:2.0.0.0 新版本:0.0.0.0
cdnprot.sys 原版本:2.4.0.27 新版本:0.0.0.0
cdnprot.vxd 原版本:2.1.0.0 新版本:0.0.0.0
cdnprot.dat 原版本:2.2.0.22 新版本:0.0.0.0
以上四个文件就是CNNIC的保护核心
cdnprot.sys和cdnprot.vxd是保护驱动,会进行Fsd inline hook,native api hook,native api inline hook,fsd dispatch hook 等恶意行为
cdnprot.dat是cdnprot保护驱动的打击配置文件,决定了cnnic会对那些产品进行打击(目前包括对3721、腾讯、360等的打击配置)
cdnns.dll是应用层控制cdnprot驱动的程序,位于c:windowssystem32
CNNIC同时修改了其网站上的安装包,将这4个文件从安装包中去除
这样做的结果就是安装新的CNNIC后,不再会留有其保护驱动,它可以被直接清除,也就不存在难以卸载的恶意行为,新安装的程序也不会去升级那4个文件,但对已经安装CNNIC的用户来说,这4个文件仍然会存在并起作用,另外由于其升级模块仍然存在,因此只要CNNIC将服务器上 cdnvers.dat这4个文件的版本号改回,那些新安装的CNNIC用户仍然会下载启动CNNIC的保护机制,继而重新成为中国最难卸载、删除的流氓软件.况且,即便短暂消灭了难以卸载的罪证,但是它依然存在强制安装等恶意罪状,为世人所不齿!
消息来源:17Tech |