UCBUG游戏网-最安全的绿色下载站点!

ucbug游戏网 > 新闻中心 > 业界动态 > → 网安工程师Jack对SBDNF与DNF小姐及乐乐的检测报告

网安工程师Jack对SBDNF与DNF小姐及乐乐的检测报告

作者:网络 来源:本站原创 时间:2009-07-07 09:00

SBDNF 1.0测试结果:
1.启动外G会自动访问BBS.SbDNF.com(这是免费G生存的动力,得点击赚广告费,是合理的)
2.启动后会在:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
下自动创建和删除Dfsy键值Afsy1
目的是加载\X:\XX\Afsy1.sys [就是外G根目录]
这是一个隐式驱动文件,为了实现PID注入.也就是外G的作用,

历史分析:
0.9版及以前的版本这个Sys文件生成的文件名不相同:
之前为
dfsy.sys或dfsy1.sys
键值也不同为:
dfsy或dfsy1

分析结果:
无法证明Afsy1.sys就是病毒,其EXE原文件也无异常表现.
(本人使用0.0.1测试版到1.0正式版的SBDNF都没有发现病毒!更没有被盗过号!)



DNF小姐 2.1 测试结果:
(本人测试的版本非其他网站下载,乃DNF966.cn上获取的原版)
其他网站获取的文件估计会包含我所测试的2.0的那种截图记录键盘型木马

1.运行后会让你设IE首页为:www.592jg.com
2.此G运行时会注入系统System32内的多个系统文件并多次修改:

TesSVR.dll (该文件在你点工具上的Lanuch启动工具时开始修改并自动删除以前的一个备份,是工具弹出窗口的文件,并未坚定是病毒但是其原理可疑,会以文件粉碎机的型式替换你做的防生成文件)
msacm32.dll(该文件则在你打开DNF的登陆窗口到输入账号密码时开始修改并同时修改上面那个文件!也是自动删除之前修改的备份文件,在你们到达频道选择界面时再次修改并删除备份,并加载Ntuscra.dll)

以上两个DLL文件都是多次修改

在注册表里加载服务键值:

多次加入并自动删除的键值:

2009-07-06 00:16:57  
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
自动删除子键: "ASTTools"

2009-07-06 00:16:33
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
自动创建子键: "ASTTools"

2009-07-06 00:15:54
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
自动删除子键: "es1371"

2009-07-06 00:15:54
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
自动创建子键: "es1371"

加载驱动型服务注册表键值是为了启动工具,该G目前未发现盗密保卡的现像,可以使用,但是用完记得改密码

正在考虑做个脚本能够用完G后还原那个系统文件(msacm32) 原大小69.5KB:

msacm32 - msacm32.dll - DLL文件信息


  DLL 文件: msacm32 或者 msacm32.dll


  DLL 名称: Microsoft ACM Audio Filter


  描述:


  msacm32.dll是32位应用程序音频压缩模块。


  属于: Windows


  系统 DLL文件: 是


  常见错误: File Not Found, Missing File, Exception Errors


  安全等级 (0-5): 0


  间谍软件: 否


  广告软件: 否

乐乐 叛逆版 (文件由Lelev8.com 获取)测试结果:

乐乐一直都是弹广告,DLL注入型外G,虽然有些版本EXE报木马,但可以说是误报,因为本人一直从使用乐乐到今天都没有发现过其有任何可疑性操作.

GE [文件由中国娱乐社区论坛获取,注意:非520DNF上的GESoft 0.6]

运行后会在C盘根目录下生成xxTx.sys,并加载,原理与SBDNF类似,属于驱动加载型,ucbug游戏网内存修改工具.
对Ge常年使用,也很少说其有毒,但其他渠道获取的GE副本,我不能保证其没有毒.


舆论新闻:

DNF小姐已开始以未日论坛作其官方论坛,并对SBDNF乐乐等工具进行诽谤,小姐工具不差,但作者素质不行啊.唉.....做马就做马,哪家工具没做过马,何必要说别人差自己好.

看下人家"小洁"[我不想改个什么字骂他]发的贴子:
http://www.xiaoaiwg.com/read-htm-tid-67275.html