今天在公司安装vs2013,安装过程中腾讯公司的产品“电脑管家”提示有新版本,没有犹豫的点了升级,完成后直接在管家主界面上点了“全面体检”按钮,这一点不要紧,报告有一个木马,看紧看一下“详情”,提示在系统注册表的RunOnce下有个键值,打开注册表跟踪到这个位置,仔细一看我放心了,这个文件是vs2013的主安装文件,iso是我从微软官网地址下载的,我相信微软不会拿自己的产品开这个玩笑,微软官网被黑,黑客把木马注入到2.8G的iso文件里的可能性更是微乎其微,于是我把这个问题反馈给了管家的客服。
不得不说,腾讯客服的响应速度一流,管家上直接就有反馈意见的按钮,填写完毕后将内存直接以论坛帖子的方式发表,大概不到2分钟就有人回帖处理,通过qq交流来了解发生了什么事。
值得一说的是就是在qq交流的过程中产生的。
作为一个程序员,尤其是跟安全行业有些相关的程序员,大概已经能从这一串信息中分析出点什么了,微软官方产品、RunOnce键值、被报木马,类似的乌龙时间也发生了不止一次了,当年3q大战时360将qq.exe直接报木马,即使copy一个notepad.exe改名为qq.exe也被报,这个事相信很多人还记得,而我经历的这个事件很有可能类似,管家把敏感位置出现的信息不作详细检查可能只是简单过滤之后就直接提示给用户。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]
"{4d786543-f720-4720-9a22-70fbe335e986}"="\"C:\\ProgramData\\Package Cache\\{4d786543-f720-4720-9a22-70fbe335e986}\\vs_ultimate.exe\" /burn.log.append \"C:\\Users\\zcy\\AppData\\Local\\Temp\\dd_vs_ultimate_20140731152000.log\" /burn.runonce"
下面贴出我跟管家客服人员的qq聊天记录:
这是所有这个跟客服沟通的聊天记录,大概过程是这样给客服提供了“全面体检”和“闪电查杀”两个功能的详情截图,而这个功能给出的扫描结果是不同的一个报木马,一个报注册表残留。
后来我在本地把注册表的键值修改成一个不存在的文件路径,“全面体检”依然报木马。
其实就这么点事,大家看看详细内容吧。
反馈该问题的帖子地址: http://bbs.guanjia.qq.com/forum.php?mod=viewthread&tid=2162416
qq聊天记录截图后拼到了一起,但聊天内容无删减
回家之后,将管家自带的升级功能升级为最新版本,找到这个注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce,随便建立一个键值对,而这个路径也是不存在的。
扫描结果如下图,证明在我公司电脑上出现的问题不是特殊情况。
家里电脑系统是64位win7,腾讯电脑管家版本:10.1.15257.227,公司电脑的系统版本和管家版本也一样。
大概3周前有一次在使用迅雷时,直接在迅雷里双击刚下载的视频文件,没有正常打开,然后发现迅雷修改了exe文件的打开方式,将所有exe文件制定用暴风影音打开了,这里先不说迅雷的问题,在网上查了修复方法(奇怪的是ie的exe居然没受影响,连cmd都打不开了),将cmd.exe改名称cmd.com,当然我没有直接改名,而是复制后改名,双击打开,执行一个命令,但这个方法没有效果,又找到了一个注册表文件,直接修改exe关联的键值,恢复成功了。第二天用管家扫了一遍,把cmd.com也报成病毒了。
我一共给管家反馈了两个问题,vs2013报木马这个是第二个,第一个是管家不经用户同意直接修复系统漏洞。就在我用家里电脑复现上面问题的时候,刚才升级完成的管家,在升级完大概5分钟的时候,又未经我允许,我也没点任何按钮,甚至管家界面并不在前台,即使误点了也不可能点到管家的界面,又开始了自动修补漏洞,而在我反馈客服的时候得到的回复是“ 如果用户不去手动点修复,是没有办法触发管家的修复程序启动的”,这篇帖子的地址是 http://bbs.guanjia.qq.com/forum.php?mod=viewthread&tid=2072358,大家也可以去看一下。
情况就是这样,两台电脑出现同样的问题,网络状态正常,系统正常,云引擎连接正常。
首先声明,这不是黑腾讯,否则就不先跟客服沟通了;更不是找碴,上面说过一段话“我也是程序员 也算间接帮你们测试了 该配合的我也配合了 全面体检和闪电查杀提示的不一样这本身就是问题了 一个正常文件报成木马就更是不应该
一个不存在的木马也能报成木马就不可思议了
软件这东西存在问题很正常 要是没什么重要东西我把整个硬盘镜像给你们都没关系
都是干软件的 干嘛藏着掖着 金山引擎本来就有问题我又不是不知道 没有云查杀它基本就是废物一个”。
软件这东西存在问题很正常 要是没什么重要东西我把整个硬盘镜像给你们都没关系
都是干软件的 干嘛藏着掖着 金山引擎本来就有问题我又不是不知道 没有云查杀它基本就是废物一个”。
作为一个安全行业从业者,我希望安全产品带给用户的是真正的安全体验,而不是虚假安全,更不是粗暴解决问题、错报。
作为一个程序员,我也有过出现问题解释、掩盖、蒙混、逃避,但对于一个产品,这种事干多了,最终丢失的不仅是客户,还有自己的信誉和形象,腾讯的产品给广大用户带来方便和欢乐的同时,也迎来了一片鄙夷和谩骂,希望沦落到虱子多了不怕咬的境地。
作为一个程序员,我可以大概推测出问题所在,在跟客服沟通过程中,也推荐过他将这个问题直接转给开发人员处理;作为维护人员(客服自己说他是维护),认真收集信息、亲自验证复现问题,给开发人员处理提供足够依据,这一点我还是很赞同的,不过维护人员的经验水平和对软件系统运行原理和逻辑的不了解,导致沟通经常不在点上,还有维护、测试人员和开发人员的着眼点不同,导致维护测试人员和开发人员之间的角色产生的矛盾也都不新鲜。
整个沟通过程中,克服人员解决问题的态度我能感受到,经验水平的问题我也能理解,哪怕是回复我“这个问题我不能确定,需要跟测试人员沟通一下,尽量复现这个问题,再来解决或者回复你的问题”,其实我能得到这个答案就已经很满足了,也不至于我把这整个过程写下来,听再多的解释她还是报了木马不是,把产品做好才是关键。
国内的杀毒软件(虽说现在国内几乎已经没有真正能杀毒的软件了,姑且先这么叫着吧)几乎全盘转向了对木马的防护,要么是草木皆兵,像上面这种关键位置防护,系统文件比对等手段,要么就是谨小慎微,看别人报了我才报,这个行业如此,用户安全何在,外国公司已经利用技术差异在玩弄全世界了,我们还在用这种初级手段自己人骗自己人,一些小公司为了解决生存的根本问题偶尔为之还没什么大不了的,腾讯、360这种关门50年都未必饿死人的公司,最有可能成为良心公司,出产良心产品的公司居然也能干出这种事了,你们到底把用户当作什么???
