萬盛學電腦網 >> 病毒防治 >> 9991.com陰魂不散!多多QQ表情病毒
9991.com陰魂不散!多多QQ表情病毒
真相:公開捆綁傳播,被指暗藏病毒
在百度上搜索“QQ表情”,找到相關網頁約1,660,000篇,搜索“多多QQ表情”,找到相關網頁約660,000篇,通過這簡單的計算,多多QQ表情擁有QQ表情市場近40%的市場占有率。那麼這款有著驚人市場占有率的軟件到底是一款什麼樣的軟件呢?
根據其官方介紹,多多QQ表情是一款專門為騰訊QQ用戶打造的免費軟件,提供超炫QQ表情,點擊就能導入QQ表情中,導入完畢就能在QQ聊天時使用,豐富您的對話。同時QQ表情還向軟件作者和站長開出了價碼,稱將按0.05元一個的價格與軟件捆綁,且特別聲明,在安裝成功後在添加刪除程序中可以看到“多多QQ表情”選項,可自由卸載。
真相到底是怎樣呢?在百度裡,筆者發現得更多的卻是和求助電話裡類似的內容。
同時,筆者向一位做安全的朋友求助,他稱,多多QQ表情雖然只有47K,而且表面上可挾載,但它確捆綁了另一個叫Update的病毒。而這已經大大超出了之前大家所定義的流氓軟件的范疇,因為,在諾頓和瑞星裡,大家已經將UPDATE定義成了病毒。
對UPDATE的分析
顯性動作
[SetHomePage] Url=www.9991.com/
[PopupIE] Url=www.chanet.com.cn/click.cgi?a=6606&d=3086&u=
[PopupIE] Url=www.b2b2.net/51gg/index.html
[PopupIE] Url=www.7mp3.com
[PopupIE] Url=www.600001.com/
[PopupIE] Url=www.600005.com/
隱性動作
[Actions]訪問 Url=file.qqhelper.com/up/update.dat
[Update]升級 Url=www.yulexingkong.com/mop/uninstalldrv.exe
[Update] Url=www.ha0l23.com/softbaby/uninstalltmp.exe
[Update] Url=tongji.qqhelper.com/tj/tj?setupid=$(setupid)&mac=$
(computerid)&type=$(sendflag)&version=$(version)&exeversion=$
(exeversion)&setupdate=$(setupdate)
在機器生成以下目錄以及文件:
C:Program FilesCommon FilesUPDATE
update.dat
update.exe
以上動作都是update.exe干的
另外生成一個目錄以及文件:
C:Program FilesCommon FilesSAND
updatesr.ini
svr.dat
qqfacerclient.exe
twunk_8.exe
還沒有看到具體動作,有潛伏期。
背後:商業動機 彈出全球百強網站
多多QQ表情敢於挑戰法律,公開捆綁惡性病毒,目的何在呢?筆者隨後又對其展開了進一步的調查。首先,筆者打開了其彈出的第一個網站9991的鏈接,吃驚的發現,這家成立於2005年10月第二個星期的網站,在ALEXA裡的排名居然已經上升到了全球前100名。如果按照其REACH值1萬來推算,其流量已經達到了新浪的七分之一。
那麼這家網站又是通過什麼手段如何神奇般在3 個月之內的由0做到全球100名呢?那就是前面被諾頓和瑞星認定的多多QQ表情攜帶的UPADATE病毒。同時,筆者打開多多QQ表情指向的其他相關網站,同樣發現了這個這惡性病毒所帶來的巨額流量使這些網站在短期間內搭上了超級火箭。
誰是幕後黑手?
在百度裡,筆者輸入“9991”顯示的第一條結果是“9991實用生活網-網址大全-分類信息-實用查詢”,而對應的鏈接是 www.woyaoshang.com(我要上),而不是www.9991.com,進去一看,內容和9991一樣,相關的聯系方式和9991也是一模一樣,可以斷定,他們是同一個人所為。
在DONEWS一篇BLOG暴料:“現在網站打著‘9991.com是綠色安全網站,多家媒體宣傳、推薦,點此查看’,看來流氓改良了,不從事流氓事業了,關鍵是以前被你流氓的用戶怎麼擺脫痛苦!!! www.woyaoshang.com又是誰注冊的呢?自己沒有到域名注冊商那去搜索,而是直接到了www.alexa.com 去查,查詢到的郵箱是[email protected],再回到baidu搜索這個信箱,原形就出來了!郵箱無一例外都指向了同一個人-――大名鼎鼎的龐升東。”
看來,表面的眾多證據,都指向龐升東。但是,幕後到底又有怎樣的實情?
