PPTV(pplive)_forap_1084_9993.exe + txupd.exe

ELOHIM

B100D1E55 发表于 2019-8-15 04:18
OEM除了补足自己情报网络的缺漏，也补足了客户端检测机制的空缺。很多产品云端和客户端检测机制大相径庭 ...

这段话太赞了。
杀毒软件权限之大，可以随意做任何事。。
所以也是我决定使用WD的主要原因之一。既然系统是微软的，那所有输入法，浏览器，杀毒，分析工具就都用微软的吧。。
输入法是不是可以知道输入过的任何字符串呢？
卡号，密码，姓名，网址，云端词汇更新。。。哈哈哈。。。。

icerain

B100D1E55 发表于 2019-8-14 21:07
17年就出现过：https://bbs.kafan.cn/thread-2111634-1-1.html

我觉得这种一般杀毒可能都杀不出本体， ...

查出来了，和猜的一样，就是QQ生成的，使用的QQ轻聊版。我只要一打开QQ没多久就会生成，如果使用手动检测更新，也会立马生成文件。15:12:39.0424098        QQ.exe        7200        CreateFile        C:\Program Files (x86)\Tencent\QQLite\txupd.exe        SUCCESS        所需访问: 读取属性, 提供: Open, 选项: 打开重分析点, Attributes: n/a, 共享模式: Read, Write, Delete, AllocationSize: n/a, 打开结果: 已打开
15:12:39.0424995        QQ.exe        7200        QueryBasicInformationFile        C:\Program Files (x86)\Tencent\QQLite\txupd.exe        SUCCESS        CreationTime: 2019/8/1 14:30:26, LastAccessTime: 2019/8/14 14:16:20, LastWriteTime: 2019/8/1 14:30:26, ChangeTime: 2019/8/1 14:30:27, FileAttributes: A

15:12:39.0638059        QQ.exe        7200        RegOpenKey        HKLM\SOFTWARE\Microsoft\AppModel\Lookaside\user\Software\Microsoft\Windows\CurrentVersion\App Paths\txupd.exe        NAME NOT FOUND        所需访问: Read

15:12:39.0639259        QQ.exe        7200        RegOpenKey        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\txupd.exe        NAME NOT FOUND        所需访问: Read


路径：C:\Program Files (x86)\Tencent\QQLite\Bin\QQ.exe
命令行："C:\Program Files (x86)\Tencent\QQLite\Bin\QQ.exe" /hosthwnd=1050052 /hostname=QQ_IPC_{B507E9B1-B303-4CC1-9413-8B926DA707FB} /memoryid=0 "C:\Program Files (x86)\Tencent\QQLite\Bin\QQ.exe"




再附上刚生成的样本
360卫士pass，智量直接杀。
杀毒网结果：http://r.virscan.org/language/zh ... acde0a5c4ecd69a9c7f

B100D1E55

icerain 发表于 2019-8-15 15:28
查出来了，和猜的一样，就是QQ生成的，使用的QQ轻聊版。我只要一打开QQ没多久就会生成，如果使用手动检测 ...

从日志上来看还是有一点疑惑，因为你之前说生成路径是：

C:\Users\XXX\AppData\Roaming\Tencent\QQ\AuTemp\3941034042\NewUpd\txupd.exe

你在日志里有看到这个文件的创建事件吗？楼上的日志条目里我并没有看到这个txupd而只是qq自己的txupd。需要查找的不是access或者query而是create。即删掉那个可疑的txupd，然后监控到底哪个进程创建了。我估计可能和金山的那个案例一样，qq正常程序的升级组件txupd被掉包用来释放病毒，说不定释放者仍然有某家的签名。这也是为什么你每次手动检测更新会释放，因为更新检测会调用被替换的txupd然后就释放病毒。注意看一下腾讯安装目录下哪个txupd有没有腾讯的数字签名

你附上的新样本明显是一个毒：


虽然腾讯偶尔搞静默安装，但是释放这种东西的概率还是很小的

B100D1E55

ELOHIM 发表于 2019-8-15 09:05
这段话太赞了。
杀毒软件权限之大，可以随意做任何事。。
所以也是我决定使用WD的主要原因之一。既然系 ...

肯定是可以的……不然iOS装第三方键盘也不会弹出警告说是否允许键盘访问用户输入。
之前甚至某输入法出过车祸，把用户输入的密码也加入到词汇联想里面去了

一般来说密码框输入法会自动屏蔽词库学习，但挫逼的是FB这样的大公司，uwp messenger app有好一段时间密码输入框貌似都是按普通文本框处理，导致输入法会记录密码到高频词库……

blacksaussage

B100D1E55 发表于 2019-8-15 22:58
肯定是可以的……不然iOS装第三方键盘也不会弹出警告说是否允许键盘访问用户输入。
之前甚至某输入法出 ...

iOS的话我记得输入密码会强制禁用第三方输入法 直接调用自带的密码输入来着？

B100D1E55

blacksaussage 发表于 2019-8-16 06:07
iOS的话我记得输入密码会强制禁用第三方输入法 直接调用自带的密码输入来着？

个别app会，貌似不是全部。比如lastpass就会强制原始输入法，我用gboard有时候还经常会异常……应该有一个api可以控制这个功能，不过我对iOS开发不熟所以不是很确定

icerain

B100D1E55 发表于 2019-8-15 22:04
从日志上来看还是有一点疑惑，因为你之前说生成路径是：

C:%users\XXX\AppData\Roaming\Tencent\QQ\Au ...

这次抓包的日志找错了。我把QQ轻聊版卸了，再重新下载安装的QQ（从官网，之前是360里面下的），依然在升级检测时会释放txupd.exe并报读，释放路径是C:\Users\XXX\AppData\Roaming\Tencent\QQ\AuTemp\3941034042\NewUpd\txupd.exe

icerain

B100D1E55 发表于 2019-8-15 22:04
从日志上来看还是有一点疑惑，因为你之前说生成路径是：

C:%users\XXX\AppData\Roaming\Tencent\QQ\Au ...

安装目录C:\Program Files (x86)\Tencent\QQ\txupd.exe 含数字签名，如图，且图标都不一样。

B100D1E55

icerain 发表于 2019-8-16 16:33
安装目录C:\Program Files (x86)\Tencent\QQ\txupd.exe 含数字签名，如图，且图标都不一样。

我对qq不是很了解。。轻聊版是不是已经停止开发很久了？因为我看你那个txupd签名还是2012年的

txupd曾经爆出高危漏洞，会遭受中间人攻击从而可以投放任意样本，这个洞影响14年前所有qq版本 https://www.secpulse.com/archives/29912.html

也出现过dll劫持，也就是虽然程序本体有数字签名，如果加载的dll是被替换的就可能执行病毒代码，可以试着用process explorer的工具查看有无可疑的dll模块 https://docs.ioin.in/writeup/ti. ... eport_pdf/index.pdf
第27页有提到

我猜测很大可能是老的txupd被劫持利用……这种情况下最简单的就是换新版的qq

莒县小哥

icerain 发表于 2019-8-15 15:28
查出来了，和猜的一样，就是QQ生成的，使用的QQ轻聊版。我只要一打开QQ没多久就会生成，如果使用手动检测 ...

Microsoft

Trojan:Win32/Zpevdo.B