QQ表情本來是廣受用戶歡迎的一個實用工具,然而,最近有人卻利用人們對QQ表情的喜愛,將其變成了一種惡性病毒。最近,筆者不斷接到求助電話,受到一款名叫多多QQ表情病毒的騷 擾。筆者隨即對這款工具軟件進行調查,發現了其背後還暗藏著驚人秘密。
真相:公開捆綁傳播,被指暗藏病毒
在百度上搜索“QQ表情”,找到相關網頁約1,660,000篇,搜索“多多QQ表情”,找到相關網頁約660,000篇,5自學網,通過這簡單的計算,多多QQ表情擁有QQ表情市場近40%的市場占有率。那麼這款有著驚人市場占有率的軟件到底是一款什麼樣的軟件呢? 根據其官方介紹,多多QQ表情是一款專門為騰訊QQ用戶打造的免費軟件,提供超炫QQ表情,點擊就能導入QQ表情中,導入完畢就能在QQ聊天時使用,豐富您的對話。同時QQ表情還向軟件作者和站長開出了價碼,稱將按0.05元一個的價格與軟件捆綁,且特別聲明,在安裝成功後在添加刪除程序中可以看到“多多QQ表情”選項,自學教程,可自由卸載。 真相到底是怎樣呢?在百度裡,筆者發現得更多的卻是和求助電話裡類似的內容。見圖1:
同時,筆者向一位做安全的朋友求助,他稱,多多QQ表情雖然只有47K,而且表面上可挾載,但它確捆綁了另一個叫Update的病毒。而這已經大大超出了之前大家所定義的流氓軟件的范疇,因為,在諾頓和瑞星裡,大家已經將UPDATE定義成了病毒。 諾頓對QQ表情主程序的認定:
瑞星對QQ表情的認定:
超級兔子對多多QQ表情的認定: 對UPDATE的分析
顯性動作 [SetHomePage] Url=http://www.9991.com/
[PopupIE] Url=http://www.chanet.com.cn/click.cgi?a=6606&d=3086&u= [PopupIE] Url=http://www.b2b2.net/51gg/index.html
[PopupIE] Url=http://www.7MP3.com
[PopupIE] Url=http://www.600001.com/ [PopupIE] Url=http://www.600005.com/ 隱性動作 [Actions]訪問 Url=http://file.qqhelper.com/up/update.dat [Update]升級 Url=http://www.yulexingkong.com/mop/uninstalldrv.exe [Update] Url=http://www.ha0l23.com/softbaby/uninstalltmp.exe
[Update] Url=http://tongji.qqhelper.com/tj/tj?setupid=$(setupid) &mac=$(computerid)&type=$(sendflag) &version=$(version)&exeversion=$(exeversion) &setupdate=$(setupdate) 在機器生成以下目錄以及文件: C:\Program Files\Common Files\UPDATE update.dat update.exe 以上動作都是update.exe干的 另外生成一個目錄以及文件: C:\Program Files\Common Files\SAND updatesr.inisvr.dat qqfacerclient.exetwunk_8.exe 還沒有看到具體動作,有潛伏期。
