本帖最后由 shiyi2253 于 2015-10-21 14:58 编辑
昨天群里有人说起主页被木马锁了,怎么改都改不回来。问了下,是装了“神器青蛙PC版”被搞的。要来下载地址自己安装分析了下,元凶竟然是腾讯管家。。它的主页锁定功能可以通过安装参数任意设置利用,被流氓网站用来抢主页。我自己写了个脚本验证了下,发现这是个比较严重的问题,希望腾讯的官人能够重视下!
1、中招过程 “神奇青蛙PC版”软件下载页面,广告图片过于露骨特别处理了下: 找到正确的下载位置: 将这个压缩包下载回来后,解压。我不知道有多少人和我的第一反应一样——下回来之后先setup一下: 如果谁也习惯性手贱的点了setup.exe,那么你就悲剧了: 那位中招小伙伴的遭遇在我的测试机器上重演:主页变为www.987.com/?gj的导航网站。再看电脑,同时也装上了腾讯电脑管家,“浏览器保护”功能的设置自动设定为这个导航网站。
2、 深入分析 这个神奇青蛙和腾讯管家究竟有啥关系呢?右键查看setup.exe的文件属性,结果竟然是… 原来,所谓的神奇青蛙,其实就是腾讯管家的安装包,它在安装时有个命令行颇有意思,已经设定了DefaultIE参数。 我专门把完整命令行复制出来给大家鉴赏: /S ##supply=70540&qqpcmgr=0&recommand=3&DefaultIE="http://www.987.com/?gj" “/S”想必就是silent(静默)的意思了,而后面的supply显然是推广ID,qqpcmgr和recommand两个参数虽然字面意思很明显,但数值的含义并不清楚,也不必太纠结。最后的DefaultIE是个URL,看字面,难道IE默认主页? 安装完成后,最终结果显而易见,主页就这么被锁定了。 而当我试图对主页进行修改的时候,腾讯电脑管家非常敬业的阻止了我的操作: 那么问题来了,运行安装包时通过命令行参数指定要修改并锁定主页,这个举措合乎规矩吗?
3、随意利用 完全不需要用户手动设置,仅凭安装时的一个参数,就决定了安装后要修改并锁定的网址是什么。这种做法看似简单易行,但对于一款具有很高底层权限的安全软件来说,似乎有一些草率。 那是不是给出任意的参数,安装包都会乖乖执行呢?我特意写了个脚本自己验证了一下,利用腾讯管家把主页锁定360.com。验证时还特意选择了从腾讯官网下载的最新安装包,结果大功告成。 测试脚本如下: 脚本运行之后,腾讯电脑管家果然把360.com锁定成了系统首页,无限和谐~ 也就是说,修改参数后,腾讯电脑管家依旧会将私自设定的链接锁定为首页。这种简单易行的手法,不要说高端黑客,我等小菜也能轻松实现。作为一款“安全软件”,腾讯电脑管家未免太大意了。 锁定主页本来是为了防流氓的,现在看来,却成了耍流氓的利器。希望腾讯官人务必重视,千万被给流氓网站当了帮凶。 | 
[复制链接]
发表于 2015-10-21 14:56:24
