寫在前面:
請勿下載 eREAD 6.0 電子書閱讀軟體以及愛搜書網的任何檔案。
昨晚在處理討論區內會員檢舉的文章,發現某些會員張貼的分享檔案都是來自 http://www.nlqjcg.cn/ 網域。
接著搜尋關鍵字『www.nlqjcg.cn』又出現不少結果,隨機下載一個連結來分析,卡巴掃毒沒有問題,但是有個安裝程式,是 eREAD 6.0 電子書閱讀軟體,由『愛搜書網』發佈的(程式資訊寫到 www.isoshu.com 這串網址),然後很順手的用 7-zip 把它解壓縮(NSIS安裝程式的特性)了。
稍微看了一下,感覺 UI 好像設計得滿漂亮的(因為 skin 的圖都不錯= =)。
接著看到 Reg.bat 內容大意是向系統註冊 IEeREAD.dll 跟 WebHook.dll,很好奇為什麼一個電子書閱讀軟體需要向系統註冊?
於是我利用 Google 查到這兩個 dll 的資料:
http://www.google.com.tw/search?q=IEeREAD.dll
http://www.google.com.tw/search?q=WebHook.dll
稍微掃過 Google 查來的資料,很明顯可以得知這兩個 DLL 屬於 Spyware(間諜軟體)!!!
而受註冊的 DLL 會在 Windows 啟動時被載入,也就是上面兩個 DLL 將會在 Windows 啟動時載入,進而開啟後門讓一些駭客、病毒、木馬...有的沒的進入電腦,甚至遭受控制而成為『殭屍電腦』致使電腦效率變差,並且為一些莫名其妙的網站打廣告(spam)。
至此大家應該知道我要說得是什麼了吧?
遠離 eREAD 電子書閱讀軟體,還有愛搜書網,雖然它資源看起來挺豐富的,但是為了避免遭殃,奉勸大家遠離它。
另外,在網站上或 e-Mail 中看到不明的附件最好不要胡亂開啟,尤其副檔名為 exe、com,甚至已經有病毒、木馬偽裝成圖片了,在開啟檔案時不可不慎啊!保密防諜,人人有責!
herc wrote:
請問有任何證據嗎??...(恕刪)
這邊就有了
http://www.prevx.com/filenames/X1862544872307399547-0/WEBHOOK.DLL.html
percylin wrote:
網頁上說...這個檔...(恕刪)
如果小弟沒會錯意,紅色這段意思應該是這樣的:
此程序可以 hook(掛載在)任何執行中的程序上,並允許該程序控制系統或紀錄鍵盤輸入、滑鼠動作、螢幕畫面等資料
The filename WEBHOOK.DLL was first seen on Aug 27 2007 in The UNITED STATES.
The filename WEBHOOK.DLL refers to a dynamic link library. It has file size of 28,672 bytes. This file has no vendor, product or version information specified in the file header.
WEBHOOK.DLL has been the subject of the following behavior(s):
* The process is hooked into all running processes which could allow it to take control of the system or record keyboard input, mouse activity and screen contents
* Registered as a Dynamic Link Library File