[样本分析分享] QQ群共享出现“女神沐浴照”？实为蠕虫病毒作怪

显示全部楼层 · 发表于 2014-2-19 18:28:33

本帖最后由 360主动防御于 2014-2-19 18:30 编辑

近期，不少网友发现QQ群共享出现名为“女神沐浴照（真情版）.rar”的文件。据360互联网安全中心检测，这其实是由QQ群蠕虫自动发布的病毒传播地址，网友们对此应提高警惕。
该蠕虫利用“90后女神视频”诱导下载，并欺骗用户关闭360安全卫士，“否则无法观看”。而一旦有网民中招，不光自己电脑遭殃，被安装大量流氓推广软件，蠕虫还会把病毒链接上传到受害者所有的QQ群共享内，使蠕虫大面积流行扩散。用户如果正常开启360安全软件防护，可以拦截并查杀此类QQ群蠕虫。
QQ群蠕虫分析
传播源：http://tdzxian.com/

当用户点击下载后，会在地址：http://2014518.b.xundisk.net/处下载一个名称为：美女资源共享室-【必看说明】.rar的压缩包

解压后：

其中有两个可执行文件，一个是七喜视频社区的推广包，该类推广包可以为蠕虫作者带来每单0.6元的收益：

另外一个“破解补丁”，实际是软件流氓推广下载者，在该解压包中有一份txt的说明文档，诱导用户安装注册girlshow客户端。此外，由于“破解补丁.exe”会被360拦截，这份说明文档还诱导用户选择放行。
破解补丁.exe分析

即从2014518.b.xundisk.net下载Server.exe以及7007.exe，以及一个名称为“女神沐浴照（真情版）”的压缩包，保存到本地C盘根目录下并启动执行。

7007.exe分析
7007.exe是具有传播性的QQ群蠕虫，它会做两件事，第一是将“女神沐浴照（真情版）.rar”上传到受害者所有的QQ群共享；第二是在受害者的QQ空间里发表一条说说，其目的同样是传播蠕虫病毒。

蠕虫上传文件到QQ群共享的实现过程如下:
1、访问：http://xui.ptlogin2.qq.com/cgi-bin/qlogin，成功后获取Cookie。
360安全卫士可以将其拦截：

2、从Cookie中提取Skey参数
3、从Skey中按照如下算法得到g_tk参数
INT Hash = 5381;
for (INT i=0;i<Skey.GetLength();i++)
{
Hash += (Hash<<5)+(INT)Skey.GetAt(i);
}
DWORD g_tk = Hash&0x7FFFFFFF;
4、访问：http://qun.qzone.qq.com/cgi-bin/get_group_list?，获取群列表
5、访问：http://qun.qzone.qq.com/cgi-bin/group_share_list?uin=，获取群里共享的文件列表。
6、访问：http://qun.qzone.qq.com/cgi-bin/group_share_upload?g_tk=，
开始上传文件到群空间，这一步360同样也会拦截：

7、上传成功后，还要回传信息到病毒作者的服务器。回传部分数据如下：

回传地址为http://113.142.13.69:8080/ftn_handler/?ver=12345&ukey=
这一步操作同样会被360拦截：

蠕虫上传到群共享的rar解压后，有用的文件只有一个：

用户打开这个URL快捷方式后，会打开“90后女神”视频下载的蠕虫病毒传播源。
蠕虫发送说说到空间的过程与上传QQ群共享比较类似，只是最后访问的接口不一样，说说接口为：taotao.qq.com/cgi-bin/ emotion_cgi_publish_shuoshuo_v6??g_tk=
接下来去看看在Q说说上发表的说说中提到的百度云盘上存储的文件http://pan.baidu.com/s/1c0d3KWS

解压后如下：

空间装扮这个EXE功能

唯一的功能是从http://2014518.b.xundisk.net下载1000.exe到本地执行

1000.exe的功能
类似于一个软件安装器，下载大量的推广软件到用户的机器中

显示全部楼层 · 发表于 2014-2-19 18:32:53

邪恶的马赛克……

显示全部楼层 · 发表于 2014-2-19 20:15:37

prawnliu 发表于 2014-2-19 18:32
邪恶的马赛克……

你没见过吗？

显示全部楼层 · 发表于 2014-2-19 20:25:25

好多工具啊

显示全部楼层 · 发表于 2014-2-19 20:26:12

本帖最后由老机子于 2014-2-19 20:30 编辑

网站被数字极速版识别并禁止访问！

显示全部楼层 · 发表于 2014-2-19 20:28:53

QQ蠕虫前段时间还有个什么农场刷金币，基本上大群全部中招。

显示全部楼层 · 发表于 2014-2-19 20:55:41

联合草榴社区亲情奉献
深藏功与名

显示全部楼层 · 发表于 2014-2-19 20:57:46

sanhu35 发表于 2014-2-19 20:25
好多工具啊

本站软件已经过杀毒处理！不信者可下载后自行杀毒！严重鄙视诋毁本站信誉者！

显示全部楼层 · 发表于 2014-2-19 21:13:56

至尊潮流发表于 2014-2-19 20:28
QQ蠕虫前段时间还有个什么农场刷金币，基本上大群全部中招。

拦截了的. 以后有样本可以发给我. 谢谢.

显示全部楼层 · 发表于 2014-2-19 21:20:49

360主动防御发表于 2014-2-19 21:13
拦截了的. 以后有样本可以发给我. 谢谢.

好的。
顺便问下是直接发给你处理得比较快还是通过官方平台？

[分享] [样本分析分享] QQ群共享出现“女神沐浴照”？实为蠕虫病毒作怪

本帖子中包含更多资源

评分

本帖子中包含更多资源