|
|
不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建"~DTLog.txt"文件,里面包含一些3721等不太干净的字符串,到底是为什么,360safe论坛的技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.(以下文段来自MJ0011与yahootw网友):
$ D4 F- ?+ g& P( O7 b# cQQ最近释放的一个文件QQPhoneHelper.dll,名字很好听 N' ?4 g! I- b, X4 k
) r, z% N+ \ P& T
不过里面就有一些字符串,用了一个比较复杂的类来加密
0 n% d7 P- g3 @ [" B7 O" j1 ?$ G& ^. i& |, K
看了下,把它们解密了
9 g4 h, V6 ]1 O1 |1 u2 a& C
; I: i3 y7 S+ f6 T4 O7 \大家来看看是都是些什么见不得人的东西:" ~* z- s3 J- f, Y0 F* z2 T
* K( x9 l1 t% H8 k& w8 g2 {$ T{B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll 雅虎助手
/ j/ b- F* z( g$ K$ \! l3 `, _' ]1 \ C- u& m/ y9 f2 }, n
5 Y `9 N1 f; @; G' W& J7 K- z{D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll 雅虎助手
! T( U3 N- |0 u) X
1 G3 @9 R% x1 e' R- J4 n
* l. c+ g4 E9 y- p4 o- S6 A' B, L) @SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
! w# R& N! G) k5 ?, U
% ? e x9 A% b
8 X. h% [. y: @' f7 @# t) K6 s//./CnsMinKP 雅虎助手
/ ~9 | B' g, m2 j8 A4 E" E" x& L7 F$ m- i6 K* t: c. s& Q9 z4 Q
2 Z; y' Y* a0 @; n6 t8 P5 Z* l{406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll 雅虎助手' p$ P& j. L8 P' l h% S8 `
5 Q& K4 b" ^5 s+ T1 y
d+ Y! R1 `8 B" }7 B$ E9 BSOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects1 |3 }, f3 | y. J
- X6 K2 r5 u/ ~1 `2 u
+ V6 f/ F& Y6 X1 s! FSOFTWARE/Microsoft/Internet Explorer/Toolbar' p1 j+ `2 r# }# S
( E, d2 t- E% d1 c
1 |, j) k9 M' I* J{02496EBD-8455-48db-B3C7-5DAC97D9F5A7} BDSrHook.dll 百度超级搜霸
8 {# Q. t; H$ e
+ d. c+ t8 k8 @9 Z h( S n6 v/ v7 ?/ c
//./adsrsvc 百度超级搜霸1 V, x$ y {9 V0 _
( T0 ~. P9 g& C( A( P9 Q ^- |. J/ ^# r
//./BDGuard 百度超级搜霸
6 n. L W% @, L% ?$ n/ z& G' [+ O6 m6 C# j6 S3 V+ M5 Y( C6 z
9 t7 ~5 e9 n- e$ {# H8 u, I
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll CNNIC中文上网' J7 i6 [/ E) G; F1 G- E) P
. }3 W! ^% d2 N# V" }0 h! `2 L
& _# W4 [# R$ {1 I8 U/ n
//./cdnprot CNNIC中文上网* Q. c, Z" R+ l: T" u+ X k
, ^9 ?# f2 ]1 d7 p8 R
3 L6 |, J- c5 Q( i" U" j//./cdntran CNNIC中文上网
4 m& z+ l/ Y2 m+ c4 _/ l; v4 M: Q. b' F& k% Q
' G: Z6 l' }4 n! L3 B
SOFTWARE/CNNIC/CdnClient
0 n: {7 z1 ], G. y3 K% I7 @% a$ ~
8 N- n1 P5 |5 s( y3 d. U! N) S! {( G9 r: S8 H
{2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜
% ^) \5 A5 b, b7 F1 e! P& U5 f2 p# P
& J% `7 A' \- v' Y5 [, H//./fad 划词搜索
& d6 d, G+ u: G4 L0 a" }7 N
4 m; K1 n2 X' M! F# m5 F( L
* `- G) I3 g7 H6 Y3 Z//./anfad 划词搜索) K8 {) N X7 ~9 }; p; H
8 R2 J$ j$ W2 g1 q" \8 B+ t
$ \. o) Q1 ?2 @! e% V* wUindata
% }; k2 B3 P$ u
. ]+ M' T1 h; {4 W1 U http://scdown.qq.com/download/HelperUpdate.htm 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异/ [, _" @6 k0 m
) j& w/ I5 M. ?! h6 q: o' s7 |! C
, j/ [# M& ?/ v- L# MURLDownloadToFileA
7 f* z" A/ ]) ] L E4 q3 D: m& E2 m: o
DeleteUrlCacheEntryA
* u- l9 C& M% ~# b! [5 O) m+ H' I/ ^: d0 {* X
流氓专用函数
! F6 |9 U6 E+ w) |; O1 D
, G e% R: V2 y2 T5 P6 J7 fyahootw网友的报告:
- Y4 t+ f1 D1 e' R7 o: V
q, v a8 S# i' ?+ V; p ^( l% _$ v7 y8 Z' _9 b H" q7 B
今天没事用AVG Anti-Spyware 扫了下 突然惊现一个警报 ! 一个木马 汗 多少年了 没中过木马了 (心情激动十万分~bs自己一下~~~呵呵)!
/ R6 E0 m* T1 Y2 u) Z( O* S
- s; l4 t: f! c5 a, k0 U Q' K) a' L; W. @, E2 ~2 s
---------------------------------------------------------9 S4 C; Z7 a0 A) E3 c) e V
9 v9 Y7 f3 p; w$ X; C6 hAVG Anti-Spyware - Scan Report
) ]5 F- |% L9 e7 l& \0 j
# \4 T u& m! s% x, O--------------------------------------------------------
0 \( `* a8 R5 c- E) b9 I: f% i0 n! j7 ]1 K9 }' [" G
4 _9 F9 F/ Q; S/ V4 `+ Created at: 00:28:25 2006-12-15
3 O* t" [& l, V0 e- |, C& ^1 ?6 m+ X" ^: ~9 _
2 S7 h7 I& M D0 y0 L& X
+ Scan result: - r8 t9 M3 }( R# W+ B# D) I
) W/ J2 e! H0 v8 {/ ?9 Y1 t
% N, v+ c) n @. M4 h
[688] D:\Tencent\qq\QQPhoneHelper.dll -> Logger.BZub.cv : Cleaned with backup (quarantined).
0 E+ _1 d* J1 i' `& K( H$ l7 ]0 A
::Report end! \6 O# t0 R! A- w* }3 }
7 u( r3 i/ }0 y% G
点击看大图 % x# H0 J3 Q% y. R; w
QQPhoneHelper.dll这个东东 到底是不是毒呢?还是杀软误报??搞不懂..呵呵 求高人指点一下!!
' r& p! Y( C* Z5 O/ V
$ _8 `8 y |' ~2 ` n0 b& {! F! V: R% U+ V: |# F7 Y8 ?
分析一下 ~~+ P! o- H `+ D) j
% `: O/ w- U m+ ?. ?& u5 V安装qq2006之后,会出现如下的情况:( D: ~6 f4 x3 W& s4 F9 r
" S: X: l) c) N' D: B$ Y
9 Q- H1 {# v1 Y4 c# s: w, j其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件?这个文件,在QQ退出后,也不会自动删除。9 i4 S9 ^% ]- x& l
; x" [: V5 c2 t2 o
这个临时文件的名字是:~DFD.tmp (或者是随机生成~DF*.tmp)% s% D( k* d- k$ e- I4 [
- N$ }8 @. T6 b/ ]/ i0 u' {9 X: W$ {( Y
其内容用Ultraedit查看是:) z; K3 c n. V: k* z, X
2 i b, s* S/ j: A1 C
[QQHelper]
- I, p2 } H) D" F2 a; Y+ L9 X4 u4 _9 L* K2 {. h9 S" G
version=1.0.0.26. p" Z& h& }) n: c8 J8 @. L
5 v6 n: |6 r1 p( k5 ~url=http://scdown.qq.com/download/QQPhoneHelper.dll3 {- a5 n. [: A- _5 J6 a
! y8 B5 j" }! \5 W, ?8 H
setupfile=QQPhoneHelper.dll4 g- Y! t; _6 ], w; S
/ s% ]6 ]. u# i" c" j- H5 T/ l
9 P1 ^5 h3 P& \8 l把QQPhoneHelper.dll这个文件改名或删除,在启动QQ后,这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 !!!
. [4 A# M0 |$ r$ v$ U/ G+ H& Y) C, w2 @8 Q- q9 v
1 h& ^- j. ]* |. J, ^ X8 ?8 j& q4 r9 q
而对于这个dll,会在c盘根目录创建"~DTLog.txt"文件
4 o" P* p" j7 R, O' a# K
1 j1 [/ G6 F# z* m' ~: p2 ?) r, F6 |- A% r( P4 b6 k
查看跟踪了读入读出请求% I. k; b0 u# p1 J
9576 01:02:23 QQ.exe:1484 OPEN D:\Tencent\qq\QQPhoneHelper.dll SUCCESS Options: Open Access: Execute
7 k7 \/ f- o1 o5 e3 X& @0 Q: m29577 01:02:23 QQ.exe:1484 CLOSE D:\Tencent\qq\QQPhoneHelper.dll SUCCESS
* ?; K' \9 b5 A: Y29578 01:02:23 QQ.exe:1484 OPEN C:\~DTLog.txt SUCCESS Options: OpenIf Access: All' o3 w/ p- m% a) k8 {+ Z5 t: R
29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
% x1 s' t N; M: g% F+ h& w29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 03 C- f$ V m$ t/ P0 j. U
29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0* _1 R1 y( S. k% M
29582 01:02:23 QQ.exe:1484 WRITE C:\~DTLog.txt SUCCESS Offset: 0 Length: 30
- j# Y+ l0 Q# y' U29583 01:02:23 QQ.exe:1484 CLOSE C:\~DTLog.txt SUCCESS
% U5 x! U6 h/ e# i( |) H1 n8 U" N. t$ N
. C* ~+ z; ~. [ [* n6 o
用卡巴,诺顿,AVK等等也是报! |
|
IP卡
狗仔卡
发表于 2007-6-13 10:19:41
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡