V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
lehui99
V2EX  ›  分享发现

QQ旋风这是要传播病毒的节奏么

  •  
  •   lehui99 · 2013-12-25 23:44:50 +08:00 · 5512 次点击
    这是一个创建于 4004 天前的主题,其中的信息可能已经有所发展或是发生改变。
    起因是我用旋风离线从 ed2k://|file|cn_windows_7_ultimate_with_sp1_x64_dvd_u_677408.iso|3420557312|B58548681854236C7939003B583A8078|/ 下载了官方原版的win7 64位sp1镜像,下来后和官方提供的sha1sum进行比对后发现不符。
    官方的sha1sum是2CE0B2DB34D76ED3F697CE148CB7594432405E23: http://msdn.microsoft.com/zh-cn/subscriptions/downloads/default.aspx#FileId=46942
    旋风离线下载下来的sha1sum是517a3d78afc6060b6a213314232c14a31d491208,文件已经共享: http://urlxf.qq.com/?YnmmYnY
    为了确认不是ed2k链接的问题,我用baidu云重新使用相同的ed2k下载了此文件,sha1sum是2ce0b2db34d76ed3f697ce148cb7594432405e23,和官方提供的sha1sum相符,文件也已经共享: http://pan.baidu.com/s/1o66oAEI
    之后我用旋风下载的iso在虚拟机中进行了安装,发现有不明驱动KeyHK,看名字有点像键盘钩子,用来盗取密码的。
    KeyHK截图: http://pan.baidu.com/s/1o60iXfk
    13 条回复    1970-01-01 08:00:00 +08:00
    austinchou0126
        1
    austinchou0126  
       2013-12-25 23:50:41 +08:00 via iPhone
    贵圈真乱
    fangzhzh
        2
    fangzhzh  
       2013-12-25 23:53:43 +08:00
    不太懂,ed2k的原理是p2p么,如果是的话, 是旋风的源被污染了吧.

    腾讯挂钩子,不太用这么费事, qq就一直在不停的发送http请求
    http://www.v2ex.com/t/94485
    zjgood
        3
    zjgood  
       2013-12-25 23:55:20 +08:00 via Android
    旋风的离线服务器有问题吧,文件弄错了。我的百度云也曾经把我的一个文件和别人的弄交换了,不过大概几分钟后又变回来了
    yfdyh000
        4
    yfdyh000  
       2013-12-26 00:05:46 +08:00
    光看名字没用,KeyHK驱动文件发出来吧,及试下 virustotal.com
    txlty
        5
    txlty  
       2013-12-26 01:13:10 +08:00
    国内互联网基础设施存在安全缺陷,可以在任意网站挂马/篡改文件。也就是万能0day。
    验证方法:用其他地区(尽量是国外)的VPS/服务器 下载一下旋风那个离线。如果sha1正常。那就是黑客用上述办法做到的。
    cxe2v
        6
    cxe2v  
       2013-12-26 09:17:55 +08:00
    @txlty 你确定是任意网站?
    takwai
        7
    takwai  
       2013-12-26 09:20:28 +08:00
    前2个星期,我用迅雷离线 + 迅雷精简版下载 win7 home 版,下载回来哈希值却是 ultimate 的。

    后来直接用浏览器下载迅雷离线,又正常了,很诡异。
    iislong
        8
    iislong  
       2013-12-26 10:10:17 +08:00
    曾用百度云离线ed2k,进度是0,但“猜你想要”中有同名文件,后用旋风离线完百度服务器上的资源,旋风上死链立刻100%了。总之各种蛋疼
    lehui99
        9
    lehui99  
    OP
       2013-12-28 22:38:52 +08:00
    @yfdyh000 驱动程序详细信息和启动/停止按钮都是灰色的,drivers目录下也找到不到类似的sys文件,防病毒软件安装基本都报驱动无法加载,怎么破?
    yfdyh000
        10
    yfdyh000  
       2013-12-28 23:15:12 +08:00
    @lehui99 Autoruns
    fdsfsdfsdf3334
        11
    fdsfsdfsdf3334  
       2013-12-31 19:42:26 +08:00
    小心啊
    lehui99
        12
    lehui99  
    OP
       2013-12-31 23:18:36 +08:00 via Android
    @yfdyh000 各个角落的autorun中好像没有啥有用的信息,和原系统没区别。。
    yfdyh000
        13
    yfdyh000  
       2014-01-01 05:15:40 +08:00
    @lehui99 应该在驱动程序部分。
    或者试试“Windows 服务管理器 1.2.5G”,查看-核心层服务,按名称排序。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5055 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 170ms · UTC 08:48 · PVG 16:48 · LAX 00:48 · JFK 03:48
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.