查看: 7200|回复: 39
收起左侧

[技术原创] QQ游戏外{过}{滤}挂收集色情文件 火绒提示切勿使用

[复制链接]
火绒工程师
发表于 2021-4-2 21:23:08 | 显示全部楼层 |阅读模式
【快讯】
近期,火绒工程师根据用户反馈,发现一款名为“QQ游戏智能机器人”的外{过}{滤}挂程序,会针对广大游戏玩家,搜集和回传隐私数据,包括带有色情相关关键字的文件及含密码、账号、通信录、笔记等关键字的文件,被搜集的文件类型包括文档、图片、视频等。火绒用户无需担心,火绒安全软件已对该木马程序进行拦截查杀。



通过分析发现,该木马程序制作者通过云控会将任意QQ号列入黑名单,并删除其大量文件。除此之外,提供该木马程序的下载站,甚至会提醒用户“个别杀软误报本软件,请不要相信,本软件不是病毒木马,运行辅助前请请先退出杀软“。

游戏玩家受众较广,从事网络游戏外{过}{滤}挂黑产的团队随之增多,市面上流通的外{过}{滤}挂软件种类也不断增加。这类灰色程序软件,通常会携带各类病毒,威胁用户安全。火绒工程师提醒大家,请谨慎下载不明软件,如需下载应用软件请通过正规官网链接,并使用火绒及时查杀;如果必须使用某些不明程序,可以提前开启安全软件进行扫描、查杀,或者前往火绒论坛求助,确保文件、程序安全后再运行,以免遭遇风险。

附:【分析报告】

一、详细分析       
近期根据用户反馈,在运行“QQ游戏智能机器人”程序之后,电脑中出现大量文件被删除的现象,恶意程序相关主页hxxp://www.qqfzn.com。经过分析发现,该模块包含云控上传文件以及删除文件逻辑。当用户使用该软件时,便会根据配置上传指定文件(上传开关暂未开启)。同时当用户QQ号或点卡卡号在该病毒配置的黑名单中时,便会遍历磁盘删除用户的文件。软件界面,如下图所示:


软件界面

病毒会从C&C服务器(hxxp://www.bseas.com/sm/qb6/k.xml)请求配置,里面包含升级,黑名单,上传文件配置等信息。部分配置文件内容,如下图所示:


配置文件

病毒通过遍历QQ UserDataSavePath目录的方式获得用户机器上登录过的QQ号,如果用户QQ账号或点卡卡号在黑名单中,那么病毒便会遍历磁盘,删除除了后缀名为.exe、.dll、.sys、.ini、.txt、.db、.lnk、.log以及配置文件中fileextp字段后缀名以外的文件。相关代码,如下图所示:


检查用户QQ是否在黑名单中

除此之外,恶意程序还会根据上传配置中fileext和fileext2字段,遍历上传扩展名为.doc、.docx、.xls、.xlsx、.ppt、.pptx、.jpg、.txt、.zip、.rar、.mp4、.wmv、.mpeg的文件(且上传文件大小需小于16M)。tryflag字段为尝试上传用户文件的开关,根据火绒现阶段请求结果,该开关暂为关闭状态。相关逻辑代码如下图所示:


遍历磁盘删除文件及上传指定后缀名文件相关逻辑

文件上传时,恶意代码会判断文件名中是否带有指定的关键字(yeskey上传文件关键、nokey为禁止上传的关键字)。上传文件控制关键字列表,如下图所示:


上传文件控制关键字列表

禁止上传的控制关键字列表,如下图所示:

禁止上传的控制关键字列表

文件上传相关代码逻辑,如下图所示:


文件上传相关代码逻辑

二、        附录
病毒hash




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
偷电狂魔
头像被屏蔽
发表于 2021-4-2 21:45:03 | 显示全部楼层
想问一下官人,是不是这个网址?

http://www.qqfz95.com/index.php?t=b2

感觉不像是个好网站呢
偷电狂魔
头像被屏蔽
发表于 2021-4-2 21:50:32 | 显示全部楼层
本帖最后由 偷电狂魔 于 2021-4-2 21:56 编辑

我去,我实体机启动了,火绒没报毒,也过了卡巴斯基扫描,咋整?


我下载的文件是这个:https://lumingfei999.lanzous.com/iCSNEnlhrgj

@火绒工程师  ,救救我!!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
00006666
发表于 2021-4-2 21:51:45 | 显示全部楼层
偷电狂魔 发表于 2021-4-2 21:50
我去,我实体机启动了,火绒没报毒,也过了卡巴斯基扫描,咋整?

试试360急救箱

http://weishi.360.cn/jijiuxiang/index.html
00006666
发表于 2021-4-2 21:58:34 | 显示全部楼层
偷电狂魔 发表于 2021-4-2 21:50
我去,我实体机启动了,火绒没报毒,也过了卡巴斯基扫描,咋整?

你可以试试360急救箱,一般问题不大。




偷电狂魔
头像被屏蔽
发表于 2021-4-2 22:00:12 | 显示全部楼层
本帖最后由 偷电狂魔 于 2021-4-2 22:29 编辑
00006666 发表于 2021-4-2 21:58
你可以试试360急救箱,一般问题不大。

正在全盘扫面,开了强力模式


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
至尊神行太保
发表于 2021-4-2 22:06:08 | 显示全部楼层
偷电狂魔 发表于 2021-4-2 22:00
正在全盘扫面,开了强力模式

这个应该好使,360套装都没360急救箱好使
偷电狂魔
头像被屏蔽
发表于 2021-4-2 22:10:37 | 显示全部楼层
火绒没报毒是因为刚刚没更新病毒库,自动更新后扫描就正常报毒了
00006666
发表于 2021-4-2 22:11:45 | 显示全部楼层
偷电狂魔 发表于 2021-4-2 22:00
正在全盘扫面,开了强力模式

https://www.virustotal.com/gui/file/0f492d60461031018b912e0c38dfff372b235a67ffa3f2ca34b90096b2d51268/detection


360好像没有入库,你先扫描吧,我看下有没有其他方法。

@360主动防御 @360客服
至尊神行太保
发表于 2021-4-2 22:12:21 | 显示全部楼层
,以后火绒要是加云加云库就好了,期待能加云
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 17:23 , Processed in 0.136684 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表