来自安全论坛的分析:腾讯QQ也见不得人
[size=2]转载自 华军软件 [/size][url=http://news.newhua.com/html/Soft_news/2007-5/21/0752116221788105_23.shtml][size=2][color=#810081]http://news.newhua.com/html/Soft_news/2007-5/21/0752116221788105_23.shtml[/color][/size][/url][size=2] 不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建"~DTLog.txt"文件,里面包含一些3721等不太干净的字符串,到底是为什么,技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.
QQ最近释放的一个文件QQPhoneHelper.dll,名字很好听
不过里面就有一些字符串,用了一个比较复杂的类来加密
看了下,把它们解密了
大家来看看是都是些什么见不得人的东西:
{B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll 雅虎助手
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll 雅虎助手
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
//./CnsMinKP 雅虎助手
{406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll 雅虎助手
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects
SOFTWARE/Microsoft/Internet Explorer/Toolbar
{02496EBD-8455-48db-B3C7-5DAC97D9F5A7} BDSrHook.dll 百度超级搜霸
//./adsrsvc 百度超级搜霸
//./BDGuard 百度超级搜霸
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll CNNIC中文上网
//./cdnprot CNNIC中文上网
//./cdntran CNNIC中文上网
SOFTWARE/CNNIC/CdnClient
{2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜
//./fad 划词搜索
//./anfad 划词搜索
Uindata
[/size][url=http://scdown.qq.com/download/HelperUpdate.htm][size=2][color=#0000ff]http://scdown.qq.com/download/HelperUpdate.htm[/color][/size][/url][size=2] 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异
URLDownloadToFileA
DeleteUrlCacheEntryA
流氓专用函数
yahootw网友的报告:
今天没事用AVG Anti-Spyware 扫了下 突然惊现一个警报 !一个木马 汗 多少年了 没中过木马了 (心情激动十万分~bs自己一下~~~呵呵)!
---------------------------------------------------------
AVG Anti-Spyware - Scan Report
---------------------------------------------------------
+ Created at: 00:28:25 2006-12-15
+ Scan result:
[688] D:\Tencent\qq\QQPhoneHelper.dll -> Logger.BZub.cv : Cleaned with backup (quarantined).
::Report end
[img]http://a.uu1001.com/uu/uu_0705_5/cityofyuyan/35_1_187f7f6b5f9b8c9.jpg[/img]
QQPhoneHelper.dll这个东东 到底是不是毒呢?还是杀软误报??搞不懂..呵呵 求高人指点一下!!
分析一下 ~~
安装qq2006之后,会出现如下的情况:
其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件?这个文件,在QQ退出后,也不会自动删除。
这个临时文件的名字是:~DFD.tmp (或者是随机生成~DF*.tmp)
其内容用Ultraedit查看是:
[QQHelper]
version=1.0.0.26
url=http://scdown.qq.com/download/QQPhoneHelper.dll
setupfile=QQPhoneHelper.dll
把QQPhoneHelper.dll这个文件改名或删除,在启动QQ后,这个文件会由[/size][url=http://scdown.qq.com/download/QQPhoneHelper.dll][size=2][color=#0000ff]http://scdown.qq.com/download/QQPhoneHelper.dll[/color][/size][/url][size=2] 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 !!!
而对于这个dll,会在c盘根目录创建"~DTLog.txt"文件
查看跟踪了读入读出请求
9576 01:02:23 QQ.exe:1484 OPEN D:\Tencent\qq\QQPhoneHelper.dll SUCCESS Options: Open Access: Execute
29577 01:02:23 QQ.exe:1484 CLOSE D:\Tencent\qq\QQPhoneHelper.dll SUCCESS
29578 01:02:23 QQ.exe:1484 OPEN C:\~DTLog.txt SUCCESS Options: OpenIf Access: All
29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
29582 01:02:23 QQ.exe:1484 WRITE C:\~DTLog.txt SUCCESS Offset: 0 Length: 30
29583 01:02:23 QQ.exe:1484 CLOSE C:\~DTLog.txt SUCCESS
用卡巴,诺顿,AVK等等也是报![/size] 本来还有两篇关于这个的在360论坛上,不过已经被删除了! :o whoa .. I never liked computer lessons. *_*
*faints* 晕啊 我还是把07卸了改06吧:L [quote]原帖由 [i]kingl637[/i] 于 2007-5-21 18:27 发表 [url=http://www.andybbs.com/bbs/redirect.php?goto=findpost&pid=164607&ptid=13468][img]http://www.andybbs.com/bbs/images/common/back.gif[/img][/url]
晕啊 我还是把07卸了改06吧:L [/quote]
没必要,我还没感觉到有什么不对劲! 难道说都不用QQ了啊
真是的 不管人家是黑猫 白猫 抓住耗子就是好猫!:L
管那么多“绯闻”干什么? 汗…………
QQ也真是的 居然玩阴的!! mytest2.jpg病毒有人中过吗?
回复 #9 华恺 的帖子
看都没看过…………:lol最好永远不要看到……
页:
[1]