楼主: icerain
收起左侧

[可疑文件] PPTV(pplive)_forap_1084_9993.exe + txupd.exe

[复制链接]
ELOHIM
发表于 2019-8-15 09:05:37 | 显示全部楼层
B100D1E55 发表于 2019-8-15 04:18
OEM除了补足自己情报网络的缺漏,也补足了客户端检测机制的空缺。很多产品云端和客户端检测机制大相径庭 ...

这段话太赞了。
杀毒软件权限之大,可以随意做任何事。。
所以也是我决定使用WD的主要原因之一。既然系统是微软的,那所有输入法,浏览器,杀毒,分析工具就都用微软的吧。。
输入法是不是可以知道输入过的任何字符串呢?
卡号,密码,姓名,网址,云端词汇更新。。。哈哈哈。。。。
icerain
 楼主| 发表于 2019-8-15 15:28:53 | 显示全部楼层
本帖最后由 icerain 于 2019-8-15 15:31 编辑
B100D1E55 发表于 2019-8-14 21:07
17年就出现过:https://bbs.kafan.cn/thread-2111634-1-1.html

我觉得这种一般杀毒可能都杀不出本体, ...

查出来了,和猜的一样,就是QQ生成的,使用的QQ轻聊版。我只要一打开QQ没多久就会生成,如果使用手动检测更新,也会立马生成文件。15:12:39.0424098        QQ.exe        7200        CreateFile        C:\Program Files (x86)\Tencent\QQLite\txupd.exe        SUCCESS        所需访问: 读取属性, 提供: Open, 选项: 打开重分析点, Attributes: n/a, 共享模式: Read, Write, Delete, AllocationSize: n/a, 打开结果: 已打开
15:12:39.0424995        QQ.exe        7200        QueryBasicInformationFile        C:\Program Files (x86)\Tencent\QQLite\txupd.exe        SUCCESS        CreationTime: 2019/8/1 14:30:26, LastAccessTime: 2019/8/14 14:16:20, LastWriteTime: 2019/8/1 14:30:26, ChangeTime: 2019/8/1 14:30:27, FileAttributes: A

15:12:39.0638059        QQ.exe        7200        RegOpenKey        HKLM\SOFTWARE\Microsoft\AppModel\Lookaside\user\Software\Microsoft\Windows\CurrentVersion\App Paths\txupd.exe        NAME NOT FOUND        所需访问: Read

15:12:39.0639259        QQ.exe        7200        RegOpenKey        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\txupd.exe        NAME NOT FOUND        所需访问: Read


路径:C:\Program Files (x86)\Tencent\QQLite\Bin\QQ.exe
命令行:"C:\Program Files (x86)\Tencent\QQLite\Bin\QQ.exe" /hosthwnd=1050052 /hostname=QQ_IPC_{B507E9B1-B303-4CC1-9413-8B926DA707FB} /memoryid=0 "C:\Program Files (x86)\Tencent\QQLite\Bin\QQ.exe"




再附上刚生成的样本
360卫士pass,智量直接杀。
杀毒网结果:http://r.virscan.org/language/zh ... acde0a5c4ecd69a9c7f




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
B100D1E55
发表于 2019-8-15 22:04:00 | 显示全部楼层
本帖最后由 B100D1E55 于 2019-8-15 22:21 编辑
icerain 发表于 2019-8-15 15:28
查出来了,和猜的一样,就是QQ生成的,使用的QQ轻聊版。我只要一打开QQ没多久就会生成,如果使用手动检测 ...

从日志上来看还是有一点疑惑,因为你之前说生成路径是:

C:\Users\XXX\AppData\Roaming\Tencent\QQ\AuTemp\3941034042\NewUpd\txupd.exe

你在日志里有看到这个文件的创建事件吗?楼上的日志条目里我并没有看到这个txupd而只是qq自己的txupd。需要查找的不是access或者query而是create。即删掉那个可疑的txupd,然后监控到底哪个进程创建了。我估计可能和金山的那个案例一样,qq正常程序的升级组件txupd被掉包用来释放病毒,说不定释放者仍然有某家的签名。这也是为什么你每次手动检测更新会释放,因为更新检测会调用被替换的txupd然后就释放病毒。注意看一下腾讯安装目录下哪个txupd有没有腾讯的数字签名

你附上的新样本明显是一个毒:


虽然腾讯偶尔搞静默安装,但是释放这种东西的概率还是很小的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
B100D1E55
发表于 2019-8-15 22:58:53 | 显示全部楼层
本帖最后由 B100D1E55 于 2019-8-16 07:33 编辑
ELOHIM 发表于 2019-8-15 09:05
这段话太赞了。
杀毒软件权限之大,可以随意做任何事。。
所以也是我决定使用WD的主要原因之一。既然系 ...

肯定是可以的……不然iOS装第三方键盘也不会弹出警告说是否允许键盘访问用户输入。
之前甚至某输入法出过车祸,把用户输入的密码也加入到词汇联想里面去了

一般来说密码框输入法会自动屏蔽词库学习,但挫逼的是FB这样的大公司,uwp messenger app有好一段时间密码输入框貌似都是按普通文本框处理,导致输入法会记录密码到高频词库……

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 论认真选择输入法的重要性。

查看全部评分

blacksaussage
发表于 2019-8-16 06:07:53 | 显示全部楼层
B100D1E55 发表于 2019-8-15 22:58
肯定是可以的……不然iOS装第三方键盘也不会弹出警告说是否允许键盘访问用户输入。
之前甚至某输入法出 ...

iOS的话我记得输入密码会强制禁用第三方输入法 直接调用自带的密码输入来着?
B100D1E55
发表于 2019-8-16 07:32:27 | 显示全部楼层
本帖最后由 B100D1E55 于 2019-8-16 07:34 编辑
blacksaussage 发表于 2019-8-16 06:07
iOS的话我记得输入密码会强制禁用第三方输入法 直接调用自带的密码输入来着?

个别app会,貌似不是全部。比如lastpass就会强制原始输入法,我用gboard有时候还经常会异常……应该有一个api可以控制这个功能,不过我对iOS开发不熟所以不是很确定
icerain
 楼主| 发表于 2019-8-16 16:17:51 | 显示全部楼层
B100D1E55 发表于 2019-8-15 22:04
从日志上来看还是有一点疑惑,因为你之前说生成路径是:

C:%users\XXX\AppData\Roaming\Tencent\QQ\Au ...

这次抓包的日志找错了。我把QQ轻聊版卸了,再重新下载安装的QQ(从官网,之前是360里面下的),依然在升级检测时会释放txupd.exe并报读,释放路径是C:\Users\XXX\AppData\Roaming\Tencent\QQ\AuTemp\3941034042\NewUpd\txupd.exe
icerain
 楼主| 发表于 2019-8-16 16:33:49 | 显示全部楼层
B100D1E55 发表于 2019-8-15 22:04
从日志上来看还是有一点疑惑,因为你之前说生成路径是:

C:%users\XXX\AppData\Roaming\Tencent\QQ\Au ...

安装目录C:\Program Files (x86)\Tencent\QQ\txupd.exe 含数字签名,如图,且图标都不一样。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
B100D1E55
发表于 2019-8-16 23:46:17 | 显示全部楼层
本帖最后由 B100D1E55 于 2019-8-17 00:14 编辑
icerain 发表于 2019-8-16 16:33
安装目录C:\Program Files (x86)\Tencent\QQ\txupd.exe 含数字签名,如图,且图标都不一样。

我对qq不是很了解。。轻聊版是不是已经停止开发很久了?因为我看你那个txupd签名还是2012年的

txupd曾经爆出高危漏洞,会遭受中间人攻击从而可以投放任意样本,这个洞影响14年前所有qq版本 https://www.secpulse.com/archives/29912.html

也出现过dll劫持,也就是虽然程序本体有数字签名,如果加载的dll是被替换的就可能执行病毒代码,可以试着用process explorer的工具查看有无可疑的dll模块 https://docs.ioin.in/writeup/ti. ... eport_pdf/index.pdf
第27页有提到

我猜测很大可能是老的txupd被劫持利用……这种情况下最简单的就是换新版的qq
莒县小哥
发表于 2019-8-17 09:25:50 | 显示全部楼层
icerain 发表于 2019-8-15 15:28
查出来了,和猜的一样,就是QQ生成的,使用的QQ轻聊版。我只要一打开QQ没多久就会生成,如果使用手动检测 ...

Microsoft

Trojan:Win32/Zpevdo.B
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-27 11:17 , Processed in 0.101937 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表