|
|
不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建"~DTLog.txt"文件,里面包含一些3721等不太干净的字符串,到底是为什么,360safe论坛的技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.(以下文段来自MJ0011与yahootw网友):
6 f# c2 D( ?& J" k" zQQ最近释放的一个文件QQPhoneHelper.dll,名字很好听, {- w& h: C! @$ Z/ d9 q* W, Y
7 M. M5 r% _+ x* V0 G( A不过里面就有一些字符串,用了一个比较复杂的类来加密, p- r9 Z7 q# d: k
/ m- j& M: R- H0 @$ M; N看了下,把它们解密了# K$ N2 B1 Q6 `' C' ?
' Q- i2 \% m& L0 ?
大家来看看是都是些什么见不得人的东西:: ~% v6 V& l; x0 ?
& g' Z; I9 [$ R$ Y, X
{B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll 雅虎助手+ e. {3 M. k8 K+ [- I
) j* ^2 Y' ?3 s
' ^0 O: U# @1 u/ h: P
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll 雅虎助手
( M6 Q9 h8 L' e4 E- E" }8 F! A% q! I
* A: C# m9 J5 o, e+ A2 PSOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks) A7 n! s6 A; U9 U4 q' a8 U4 O
/ H: u t: M; C+ A
& ?* [0 L$ {. v//./CnsMinKP 雅虎助手
4 I7 j" z8 p$ F8 P, E9 _) y0 r
3 z5 l" z/ @! m1 N+ t* q; U
0 J0 x7 Y: R, b: ^{406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll 雅虎助手) {" y8 P( F! o2 v+ X3 |9 `, z6 h
% T3 |" D; j% c* q) r3 ]+ T) n
9 K5 w4 [) ^9 t; \$ i+ G, T) f- hSOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects
, h9 {: M, j4 R. i
3 T9 c* n9 w0 [$ g
+ l) I6 D# I2 NSOFTWARE/Microsoft/Internet Explorer/Toolbar
. a# ~5 }* S" w: J; f2 y4 ]$ m8 _& [+ ~% p, Z
9 O- ?* S9 h5 m ]- r& I, V
{02496EBD-8455-48db-B3C7-5DAC97D9F5A7} BDSrHook.dll 百度超级搜霸
, I( @" ^, ]" o/ M# h8 i! D6 @4 }" ^$ {. _% o( j
4 a3 u! ]# a' k8 A& ?7 f0 Y. h3 i5 `
//./adsrsvc 百度超级搜霸8 o' [, \% f: j3 O7 ?* s, Z! d
- i, D; H. i9 Z9 J( t% J5 n4 y! _' z
//./BDGuard 百度超级搜霸
1 G5 A: d; B# k7 N5 n" |/ `7 B
( x* _5 Q! [0 ^
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll CNNIC中文上网4 c( ~/ W+ d$ P2 k8 o
8 ]$ |) I" c) j: V7 B6 L |. H
$ v, Y0 q8 v3 o6 {( D6 @//./cdnprot CNNIC中文上网
7 ^# L ?. Q. ^2 K! Z2 R' K. Z0 a3 g. _ d& c8 C+ g; C+ e! F
( _$ V4 X j% z//./cdntran CNNIC中文上网: j. t' U0 f* J; u" j- D( N. c t, T
J2 x! r2 Z# v1 R) n! W2 d' {# g7 v9 I+ ^* A
SOFTWARE/CNNIC/CdnClient6 K0 ^- p0 s7 ]5 S# I5 S! ?. O
$ K: p: j# I% w
% {" H% ^% ]' b: {, Y4 X: {$ j
{2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜% M! k# r3 m5 z) x* a
; ]9 m3 i, F, U3 x% K6 q9 U4 e% B2 h
. W4 t. q+ ^" \# s5 r//./fad 划词搜索
% v6 Y$ Y. }* `1 x3 k* t9 g( t$ b* H4 J* t" T% f8 l
8 H8 V0 i" T0 b//./anfad 划词搜索. w" o9 p0 X$ g# e1 k$ ]
8 e f* H2 B# w7 h* W
+ j- j, R P* \/ X; o C& l& UUindata+ j. q( L4 s7 r" \/ a* C7 r5 y- V
: a% @ Z5 ]% V: A4 c* E2 ~ http://scdown.qq.com/download/HelperUpdate.htm 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异
A( k, M1 R5 _3 \$ d2 k5 V1 q$ B# G0 d W6 V
9 \- v' @5 R e0 g/ c
URLDownloadToFileA
; m) \! } Z8 ]8 O! P$ h3 H: @- V3 n0 n
DeleteUrlCacheEntryA
9 m) j; | B/ Q$ H' x" ]2 `- j4 L. o9 {2 u
流氓专用函数 p; i& Q- u1 O4 c6 N
8 f0 v5 q: |/ f
yahootw网友的报告:9 r1 e9 d4 ~& m+ H, Y' z0 j" ^; v
3 ]! x9 @! j, L
, g8 s5 r- u* V7 |
今天没事用AVG Anti-Spyware 扫了下 突然惊现一个警报 ! 一个木马 汗 多少年了 没中过木马了 (心情激动十万分~bs自己一下~~~呵呵)!! `7 D" N' |) P4 k: d! y7 g7 e
8 f' |3 i, x: X% J1 J& K8 q% V3 Y) o* ]9 z v" z/ D
---------------------------------------------------------
( ~- N0 a' K# I& J5 S8 T
9 w0 t* x+ g& }2 e9 j) GAVG Anti-Spyware - Scan Report
1 p5 t& ~' r$ K m
; P: B9 B; e& |5 G* y--------------------------------------------------------
" }6 h; F6 I* D) l
( C2 f& s$ y4 s/ a0 [; |, P$ K6 V" e' @# ^, A
+ Created at: 00:28:25 2006-12-15
5 K2 t, ]* `, b# L* Q+ R
5 C9 c c; b4 m' F/ M1 I: T. L+ r) }& q/ N6 r
+ Scan result: / h: V$ L* x! v, y z4 w
+ w5 F: u7 j l2 S
2 T, O1 y! R3 }- M[688] D:\Tencent\qq\QQPhoneHelper.dll -> Logger.BZub.cv : Cleaned with backup (quarantined).
' F" _, k' i+ U' m/ y. H. E1 M) x3 V z( A
::Report end3 L1 N& c7 Z! G; g
! S) A1 H; s/ _9 _点击看大图
- w8 x) g. y% T$ P, G+ R' sQQPhoneHelper.dll这个东东 到底是不是毒呢?还是杀软误报??搞不懂..呵呵 求高人指点一下!!
, d2 o: V$ k$ ~0 e4 a) g0 p
$ ]( X, N) E* |0 `: r% ~, n
5 d; d f$ |% D分析一下 ~~
, H6 Z3 T1 x" @( `8 {! H' y+ a8 L; ]- k4 ~3 w* I: c9 W' h/ _
安装qq2006之后,会出现如下的情况:
$ ]& ~4 s% Z. M3 m6 C, n( m1 p9 G; _9 d" C2 \6 M* [. X
" B, F4 Q J9 Y N
其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件?这个文件,在QQ退出后,也不会自动删除。
5 o' u# e/ U7 l: b, I2 b# w- \7 D4 s7 y* x
这个临时文件的名字是:~DFD.tmp (或者是随机生成~DF*.tmp)
) M N2 I( S4 w! v% ?9 R" o$ f2 h# g) d w2 r
- U& K5 E& P0 U
其内容用Ultraedit查看是:
c0 x% J/ m4 H' I) Z9 l- a1 h8 k; K
[QQHelper]
+ s! K* q: E6 s* d. j; v* C5 @! _. u- R0 r
version=1.0.0.26
2 n1 H W& f1 W7 N
5 {. d4 O8 G+ J5 _$ xurl=http://scdown.qq.com/download/QQPhoneHelper.dll
; _4 k1 X8 x. l7 I5 K# v z2 K, M, Z2 r! a
setupfile=QQPhoneHelper.dll
+ k% R8 X2 H* S" _4 {. h E, d) T" |/ B
! S4 Z5 z9 @8 o- H把QQPhoneHelper.dll这个文件改名或删除,在启动QQ后,这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 !!!
) E' H& h6 A- Q4 f, E# p: y# u' K0 C3 ]. }3 w
# ]6 d2 H2 u$ s7 ~. {而对于这个dll,会在c盘根目录创建"~DTLog.txt"文件
6 o. ?: A& U3 o6 q; z7 \
6 I4 E& Y9 { b ?2 v# V5 ~0 y; d/ F2 h# j i* x0 R L# @* K
查看跟踪了读入读出请求/ ~7 f4 o2 O$ b1 ~3 ~
9576 01:02:23 QQ.exe:1484 OPEN D:\Tencent\qq\QQPhoneHelper.dll SUCCESS Options: Open Access: Execute9 I' K; L( A o' Q1 U; s5 a
29577 01:02:23 QQ.exe:1484 CLOSE D:\Tencent\qq\QQPhoneHelper.dll SUCCESS5 p, J/ j# M M* r! S
29578 01:02:23 QQ.exe:1484 OPEN C:\~DTLog.txt SUCCESS Options: OpenIf Access: All' |$ x/ o8 Z% p( l1 |& {% d3 t
29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
6 e2 G: v7 {9 G6 U. y% s29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0' l W* v' r, V- e+ O. x0 L- ~
29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
3 ^! B' b$ q9 K. _5 w29582 01:02:23 QQ.exe:1484 WRITE C:\~DTLog.txt SUCCESS Offset: 0 Length: 30
y5 b, E; D( `3 X6 ~29583 01:02:23 QQ.exe:1484 CLOSE C:\~DTLog.txt SUCCESS! L3 F4 N# _: [! y% m* o
4 Z# h# Z) u2 \0 p. l
8 ~% ?6 m1 M% [用卡巴,诺顿,AVK等等也是报! |
|
IP卡
狗仔卡
发表于 2007-6-13 10:19:41
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡