砖头】来自360safe的分析:腾讯QQ也见不得人
不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建"~DTLog.txt"文件,里面包含一些3721等不太干净的字符串,到底是为什么,360safe论坛的技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.(以下文段来自MJ0011与yahootw网友): k(|Jemc��f
QQ最近释放的一个文件QQPhoneHelper.dll,名字很好听 S!w��x�-��
不过里面就有一些字符串,用了一个比较复杂的类来加密 q_?�"�1zE�
看了下,把它们解密了 3/Zr+_e�cN
大家来看看是都是些什么见不得人的东西: (`�rF(s�Y�
�[��{d8�K
^^~w/H�U5�
{B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll 雅虎助手 �@gc,x5w�m
A>��| z��y
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll 雅虎助手 'l�f�M+~'f
lQj��RUT
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks 5bj���W.{
��3�Q ��9m
//./CnsMinKP 雅虎助手 s?|SE%�:vv
]|����Uo�U
{406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll 雅虎助手 ��z"�5j,Si
\17NuB^Dk�
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects jcR0��>MA�
pae*tW���F
SOFTWARE/Microsoft/Internet Explorer/Toolbar w_�C��te C
QU��]w|70
{02496EBD-8455-48db-B3C7-5DAC97D9F5A7} BDSrHook.dll 百度超级搜霸 W_�z8]��%A
InL@(]?:m)
//./adsrsvc 百度超级搜霸 �n�\/�88ky
�UMT�Jo ��
//./BDGuard 百度超级搜霸 >,$FHDIC5O
/6>rEYB#\7
RejT/d�E�y
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll CNNIC中文上网 =^!u?Bj}0�
�X*Y�?K��u
//./cdnprot CNNIC中文上网 @JLKfh%JGR
9;C!.D4]�r
//./cdntran CNNIC中文上网 ' 71oZv�4<
Ki0xtQ"�]N
SOFTWARE/CNNIC/CdnClient �N�J����!
!pQl�M�8IJ
{2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜 1ZaMN;���Q
j�I I$�!1x
//./fad 划词搜索 -EMv~:�E4
kYwAW9O�xp
//./anfad 划词搜索 z 2CS�Z8/�
�*I}CF�a Z
Uindata �sfTLL a`N
Q�@EJ$_ [
http://scdown.qq.com/download/HelperUpdate.htm 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异 �z�o�,z}/]
N7tezs13`v
URLDownloadToFileA RW-j#bK, I
DeleteUrlCacheEntryA 0CEwSk`By
流氓专用函数 ( }(��NA
-WYWT !9�l
--------------------------------------------------------------------------------
yahootw网友的报告: sSOu@]sav]
}F:npO�F/o
今天没事用AVG Anti-Spyware 扫了下 突然惊现一个警报 ! 一个木马 汗 多少年了 没中过木马了 (心情激动十万分~bs自己一下~~~呵呵)! 8;fn�^eum
Xa���0f\|q
--------------------------------------------------------- Q9GbKf?��K
AVG Anti-Spyware - Scan Report CuA}v+(yF'
--------------------------------------------------------- &b#+bVe+m(
Ca�:53 f�
+ Created at: 00:28:25 2006-12-15 J�~k&�t=�3
6z�f��AyL�
+ Scan result: gNx*F`� :]
�^��r5| E
?b Bo����`
K,�C�~S��u
[688] D:\Tencent\qq\QQPhoneHelper.dll -> Logger.BZub.cv : Cleaned with backup (quarantined). 2� ��R�}5}
"'\EKxDL[h
Qjtr�FL�"
::Report end _~^�oC+R1r
{!fp&\YHNY
�"0AMR#�C�
QQPhoneHelper.dll这个东东 到底是不是毒呢?还是杀软误报??搞不懂..呵呵 求高人指点一下!! �w�9$G6ZwU
"�M0|q�f�
分析一下 ~~ +�x r��"gw
安装qq2006之后,会出现如下的情况: G>yZzI,hFu
�"Ky�E�T(�
其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件?这个文件,在QQ退出后,也不会自动删除。 reFPD�JY%/
这个临时文件的名字是:~DFD.tmp (或者是随机生成~DF*.tmp) "t�|� $�U_
�D* ;@\U�E
其内容用Ultraedit查看是: Y�6=#@7Pj>
[QQHelper] M7( \&{py
version=1.0.0.26 �z3��WxI{�
url=http://scdown.qq.com/download/QQPhoneHelper.dll T8HNO4cr�!
setupfile=QQPhoneHelper.dll E{2{^B,� G
j�{Sy�� H
把QQPhoneHelper.dll这个文件改名或删除,在启动QQ后,这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 !!! },�|{�* ��
�[ \lE?o��
而对于这个dll,会在c盘根目录创建"~DTLog.txt"文件 `sR�"Q0L�e
nn�E�NDQX/
查看跟踪了读入读出请求 9+Q_Er� ��
9576 01:02:23 QQ.exe:1484 OPEN D:\Tencent\qq\QQPhoneHelper.dll SUCCESS Options: Open Access: Execute TSb} EJGK8
29577 01:02:23 QQ.exe:1484 CLOSE D:\Tencent\qq\QQPhoneHelper.dll SUCCESS 3It2-{h�C
29578 01:02:23 QQ.exe:1484 OPEN C:\~DTLog.txt SUCCESS Options: OpenIf Access: All nQ)t5�<hzy
29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0 (�_*c��@��
29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0 T}asmtSX�/
29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0 $@!}RrO~m-
29582 01:02:23 QQ.exe:1484 WRITE C:\~DTLog.txt SUCCESS Offset: 0 Length: 30 1,IONN=E%
29583 01:02:23 QQ.exe:1484 CLOSE C:\~DTLog.txt SUCCESS .�E*SBB��M
PO~^ `\8�>
用卡巴,诺顿,AVK等等也是报! hxdhT8S��r |
楼主: 580650
发表于 2007-5-21 19:22:37
的。