关于最近国内炒作卡巴误杀 ZZ 经典必看

顽石不泪

最近国外反病毒软件误杀事件闹得沸沸扬扬，其中有货真价实的误杀引起系统崩溃，比如诺顿误杀系统文件netapi32.dll、lsasrv.dll，会直接导致系统无法启动。

但是卡巴误杀 Windows XP系统中的shdocvw.dll.doc 文件，只是导致IE浏览器无法启动，如果用户启动了活动桌面，会导致桌面空白，没有图标，在安全模式里面取消活动桌面就可以恢复。

另外瑞星卡卡和QQ的卡巴报告为系统安全威胁被大肆传播就比较耐人寻味了，首先我们来看看这张图片，几乎所有的论坛和网站都转载了这张图片，连水印都不带，上传的操作都免了嘿嘿，

我就不信这么多“误报”大家都是用一个版本的卡巴和QQ，大家注意一点，这个截图系统里面安装的QQ路径非常特殊，是安装在 Program Files(x86)目录下面

这意味着——这是一个64位Windows系统的截图，因为只有64位系统的Program Files目录才会带 x64/x86后缀，

大家都知道，现在使用64bit Windows系统的比例低于5%，所以普通用户根据自己真实误报的情况发帖的话，绝对不可能都是这样样的路径截图！



接下来，我做了一个测试，来看看QQ目录下面究竟有多少猫腻。

什么程度的误杀，误删，误报能够让QQ/Windows系统崩溃，蓝屏无法操作？

截图中，最底下一个窗口为QQ 2006正式版的安装目录，

第二个窗口为回收站，我把QQ目录下面除了QQ以外的全部可执行(.exe)文件删除，扔进了回收站里面。

最上面一个窗口，大家可以看到，QQ正常启动了，没有任何异常。开启三分钟以后提示了一下自动更新失败，进选项里面关闭自动更新就OK了

收发信息，聊天，群功能一切正常。

没有传说中山崩海啸，地震，系统崩溃

那么，为什么杀毒软件会频频报告国产软件有安全威胁呢？

我们来看看稍微把QQ进行反编译以后的结果：来自安全论坛的分析——腾讯QQ也见不得人

不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建\"~DTLog.txt\"文件,里面包含一些3721等不太干净的字符串,到底是为什么,技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.(以下文段来自匿名网友与yahootw网友):
QQ最近释放的一个文件QQPhoneHelper.dll,名字很好听
不过里面就有一些字符串,用了一个比较复杂的类来加密
看了下,把它们解密了
大家来看看是都是些什么见不得人的东西:


{B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll 雅虎助手

{D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll 雅虎助手

SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks

//./CnsMinKP  雅虎助手

{406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll 雅虎助手

SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects

SOFTWARE/Microsoft/Internet Explorer/Toolbar

{02496EBD-8455-48db-B3C7-5DAC97D9F5A7} BDSrHook.dll 百度超级搜霸

//./adsrsvc 百度超级搜霸

//./BDGuard 百度超级搜霸


{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll CNNIC中文上网

//./cdnprot CNNIC中文上网

//./cdntran CNNIC中文上网

SOFTWARE/CNNIC/CdnClient

{2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜

//./fad 划词搜索

//./anfad 划词搜索

Uindata

http://scdown.qq.com/download/HelperUpdate.htm 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异

URLDownloadToFileA
DeleteUrlCacheEntryA
流氓专用函数
yahootw网友的报告:

今天没事用AVG Anti-Spyware 扫了下 突然惊现一个警报 ！ 一个木马 汗 多少年了 没中过木马了 (心情激动十万分~bs自己一下~~~呵呵)！

---------------------------------------------------------
AVG Anti-Spyware - Scan Report
---------------------------------------------------------

+ Created at:  00:28:25 2006-12-15

+ Scan result:

[688] D:\\Tencent\\qq\\QQPhoneHelper.dll -> Logger.BZub.cv : Cleaned with backup (quarantined).


::Report end

QQPhoneHelper.dll这个东东 到底是不是毒呢？还是杀软误报？？搞不懂..呵呵 求高人指点一下！！

分析一下 ~~
安装qq2006之后，会出现如下的情况：

其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件？这个文件，在QQ退出后，也不会自动删除。
这个临时文件的名字是：~DFD.tmp (或者是随机生成~DF*.tmp)

其内容用Ultraedit查看是：
[QQHelper]
version=1.0.0.26
url=http://scdown.qq.com/download/QQPhoneHelper.dll
setupfile=QQPhoneHelper.dll

把QQPhoneHelper.dll这个文件改名或删除，在启动QQ后，这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 ！！！

而对于这个dll，会在c盘根目录创建\"~DTLog.txt\"文件

查看跟踪了读入读出请求
9576 01:02:23 QQ.exe:1484 OPEN D:\\Tencent\\qq\\QQPhoneHelper.dll SUCCESS Options: Open Access: Execute
29577 01:02:23 QQ.exe:1484 CLOSE D:\\Tencent\\qq\\QQPhoneHelper.dll SUCCESS
29578 01:02:23 QQ.exe:1484 OPEN C:\\~DTLog.txt SUCCESS Options: OpenIf Access: All
29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\\~DTLog.txt SUCCESS Length: 0
29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\\~DTLog.txt SUCCESS Length: 0
29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\\~DTLog.txt SUCCESS Length: 0
29582 01:02:23 QQ.exe:1484 WRITE C:\\~DTLog.txt SUCCESS Offset: 0 Length: 30
29583 01:02:23 QQ.exe:1484 CLOSE C:\\~DTLog.txt SUCCESS

用卡巴，诺顿，AVK等等也是报

所以说，君子坦荡，清者自清，奉劝国内厂商一句，不要过分依赖那么一两次可与而不可求的炒作，网络安全，技术为上。附：卡巴斯基官方声明全文：

为避免用户、公众受到不准确信息的干扰，切实保障用户网络安全，卡巴斯基公司特就瑞星公司指称卡巴斯基反病毒软件“查杀”瑞星卡卡一事，发表如下声明：

     一、卡巴斯基是全球技术领先的安全软件厂商，卡巴斯基反病毒软件是专业而领先的安全软件，卡巴斯基将用户安全放在第一位，专注于应对病毒、木马、蠕虫、恶意程序等任何可能影响计算机安全的威胁，并保护用户远离这些威胁。卡巴斯基并不是针对任何一款特定软件的卸载工具，也不事先假定任何软件是恶意软件或流氓软件；当然，如果某一软件包含上述任何可能对用户安全造成影响的威胁，卡巴斯基会实时的、负责任的提醒用户注意这些威胁，直到这些威胁在那些软件进行相应修正后消失。

     二、卡巴斯基将传统的病毒特征码技术与最新的主动防御技术相结合，能够处理进出计算机的所有数据，包括电子邮件、互联网数据流和网络互动；能够监控在内存中运行的所有程序与进程，可在任何危险的、可疑的或隐藏的进程（例如Rootkits）出现时发出警报，阻断对系统的所有可能的有害更改，并可在恶意行为出现后将系统复原。

     三、尽管卡巴斯基拥有全球范围内“百科全书”般丰富而庞大的病毒样本、恶意程序库和令人惊叹的主动防御能力，卡巴斯基依然十分尊重最终用户的选择权。在卡巴斯基提出威胁警告后，用户可以根据自己的知识、经验或任何其它理由自主的决定是“删除”还是“跳过”这些威胁。是否“查杀”某个软件由用户来决定，如果用户非常确信运行某个软件或进行某个操作不会产生任何威胁，卡巴斯基欢迎用户将其提交给卡巴斯基的病毒分析中心，并将由病毒分析工程师对其进行重新分析评估。

     四、作为致力于保障包括中国用户在内的全球用户计算机安全的公司，卡巴斯基愿意再次重申，卡巴斯基来中国是为了向中国用户提供更好、更完美的网络安全解决方案，我们在全球都没有炒作概念，打口水战的传统，只懂得专注于提升技术实力以应对日益增长的安全威胁，只会低调前行。在发布这份官方声明之后，卡巴斯基公司将不会再就此事件发表任何的评论。我们相信，在中国这样一个有着五千年文明的伟大而智慧的国度，所有用户都能看清楚所谓的“卡巴斯基查杀瑞星卡卡”事件的真相。

     鉴于网络安全形势越来越严峻，用户面临的威胁越来越多，卡巴斯基呼吁所有安全软件厂商，无论是本土的还是全球的，集中精力研发更好的产品，向用户提供尽可能准确的信息，为用户提供更好的服务。  

特此声明

卡巴斯基公司
北京时间：2007年5月20日

未央

看不懂,但还是要顶一下

静水逸铭

厉害.......

爱哭的小男人

看不懂啊~这两天卡巴被一病毒给干掉了,后面换了金山,一启动就关机.我是折服了啊~反正马上要换电脑了~对了,IE老自动关闭.

顽石不泪

卡巴被干掉很正常
任何杀软都被经常干掉过
但是只要坚持升级
任何病毒都能在它出现的几个小时内被干掉

爱哭的小男人

我保持升级了啊~那Key可以用到明年1月份,不过被干掉后卡巴都装不了了.应该说任何杀软都装不了了.......

立心

呵呵，很久就不用卡巴了，现在用f-secure,感觉还不错

顽石不泪

还是基于卡巴内核的东东...

双腿夹着灵魂

以前一直用卡巴，感觉不错，但实时性好像有欠缺，在同学一次疯狂下载毛片后系统崩溃了。。。。

现在用诺顿，对于U盘先用winrar查看，一般都很安全。