QQ游戏外{过}{滤}挂收集色情文件 火绒提示切勿使用

火绒工程师

【快讯】
近期，火绒工程师根据用户反馈，发现一款名为“QQ游戏智能机器人”的外{过}{滤}挂程序，会针对广大游戏玩家，搜集和回传隐私数据，包括带有色情相关关键字的文件及含密码、账号、通信录、笔记等关键字的文件，被搜集的文件类型包括文档、图片、视频等。火绒用户无需担心，火绒安全软件已对该木马程序进行拦截查杀。



通过分析发现，该木马程序制作者通过云控会将任意QQ号列入黑名单，并删除其大量文件。除此之外，提供该木马程序的下载站，甚至会提醒用户“个别杀软误报本软件，请不要相信，本软件不是病毒木马，运行辅助前请请先退出杀软“。

游戏玩家受众较广，从事网络游戏外{过}{滤}挂黑产的团队随之增多，市面上流通的外{过}{滤}挂软件种类也不断增加。这类灰色程序软件，通常会携带各类病毒，威胁用户安全。火绒工程师提醒大家，请谨慎下载不明软件，如需下载应用软件请通过正规官网链接，并使用火绒及时查杀；如果必须使用某些不明程序，可以提前开启安全软件进行扫描、查杀，或者前往火绒论坛求助，确保文件、程序安全后再运行，以免遭遇风险。

附：【分析报告】

一、详细分析       
近期根据用户反馈，在运行“QQ游戏智能机器人”程序之后，电脑中出现大量文件被删除的现象，恶意程序相关主页hxxp://www.qqfzn.com。经过分析发现，该模块包含云控上传文件以及删除文件逻辑。当用户使用该软件时，便会根据配置上传指定文件（上传开关暂未开启）。同时当用户QQ号或点卡卡号在该病毒配置的黑名单中时，便会遍历磁盘删除用户的文件。软件界面，如下图所示：


软件界面

病毒会从C&C服务器（hxxp://www.bseas.com/sm/qb6/k.xml）请求配置，里面包含升级，黑名单，上传文件配置等信息。部分配置文件内容，如下图所示：


配置文件

病毒通过遍历QQ UserDataSavePath目录的方式获得用户机器上登录过的QQ号，如果用户QQ账号或点卡卡号在黑名单中，那么病毒便会遍历磁盘，删除除了后缀名为.exe、.dll、.sys、.ini、.txt、.db、.lnk、.log以及配置文件中fileextp字段后缀名以外的文件。相关代码，如下图所示：


检查用户QQ是否在黑名单中

除此之外，恶意程序还会根据上传配置中fileext和fileext2字段，遍历上传扩展名为.doc、.docx、.xls、.xlsx、.ppt、.pptx、.jpg、.txt、.zip、.rar、.mp4、.wmv、.mpeg的文件（且上传文件大小需小于16M）。tryflag字段为尝试上传用户文件的开关，根据火绒现阶段请求结果，该开关暂为关闭状态。相关逻辑代码如下图所示：


遍历磁盘删除文件及上传指定后缀名文件相关逻辑

文件上传时，恶意代码会判断文件名中是否带有指定的关键字（yeskey上传文件关键、nokey为禁止上传的关键字）。上传文件控制关键字列表，如下图所示：


上传文件控制关键字列表

禁止上传的控制关键字列表，如下图所示：

禁止上传的控制关键字列表

文件上传相关代码逻辑，如下图所示：


文件上传相关代码逻辑

二、        附录
病毒hash

偷电狂魔

想问一下官人，是不是这个网址？

http://www.qqfz95.com/index.php?t=b2

感觉不像是个好网站呢

偷电狂魔

我去，我实体机启动了，火绒没报毒，也过了卡巴斯基扫描，咋整？


我下载的文件是这个：https://lumingfei999.lanzous.com/iCSNEnlhrgj

@火绒工程师  ，救救我！！

00006666

偷电狂魔 发表于 2021-4-2 21:50
我去，我实体机启动了，火绒没报毒，也过了卡巴斯基扫描，咋整？

试试360急救箱

http://weishi.360.cn/jijiuxiang/index.html

00006666

偷电狂魔 发表于 2021-4-2 21:50
我去，我实体机启动了，火绒没报毒，也过了卡巴斯基扫描，咋整？

你可以试试360急救箱，一般问题不大。

偷电狂魔

00006666 发表于 2021-4-2 21:58
你可以试试360急救箱，一般问题不大。

正在全盘扫面，开了强力模式

至尊神行太保

偷电狂魔 发表于 2021-4-2 22:00
正在全盘扫面，开了强力模式

这个应该好使，360套装都没360急救箱好使

偷电狂魔

火绒没报毒是因为刚刚没更新病毒库，自动更新后扫描就正常报毒了

00006666

偷电狂魔 发表于 2021-4-2 22:00
正在全盘扫面，开了强力模式

https://www.virustotal.com/gui/file/0f492d60461031018b912e0c38dfff372b235a67ffa3f2ca34b90096b2d51268/detection


360好像没有入库，你先扫描吧，我看下有没有其他方法。

@360主动防御 @360客服

至尊神行太保

，以后火绒要是加云加云库就好了，期待能加云