|
|
不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建"~DTLog.txt"文件,里面包含一些3721等不太干净的字符串,到底是为什么,360safe论坛的技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.(以下文段来自MJ0011与yahootw网友):
8 ~. a. b: g! @2 f! pQQ最近释放的一个文件QQPhoneHelper.dll,名字很好听
( V7 @9 Z$ ]2 z2 E! t' w$ J; [5 L$ A9 O$ d/ G/ ~6 R9 H. L
不过里面就有一些字符串,用了一个比较复杂的类来加密
6 Q! `' D& | @, h( h& v& B" @9 Z }6 F3 O9 V
看了下,把它们解密了 F" G, p5 @' a5 B
. a) C( O- o! A& O
大家来看看是都是些什么见不得人的东西:
! h5 z# U3 ~$ i% N+ X* p& W& x3 y/ y; I1 [# p* y: a
{B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll 雅虎助手2 v8 J& o1 l# h2 G% @' z
! L, x# C- ]; \9 Z( [' J% ~2 ~3 O9 ], H# x
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll 雅虎助手
! | V: ~: q: O9 j) y4 g1 u2 C A9 S9 D. ^
. @" h6 [: k+ R/ w' B
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks. e9 y1 I' K; ^$ x8 B; I
, ]5 {3 \$ p0 a& `$ T% g: D2 b2 t: ^2 G
//./CnsMinKP 雅虎助手
1 F8 T. ]: b6 Y+ z! A5 m/ b, R; | e+ u6 K6 s
3 P: s6 u* s9 I- u6 w+ u{406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll 雅虎助手9 V4 u: q, V5 c) j; Y
) ^5 L9 P+ g! T6 W' f
/ `' L X$ u% @8 x9 XSOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects
! G% n @: G0 Z4 ]
: t0 g2 a3 z# q- f& D7 F1 d; p. g, D$ u. q
SOFTWARE/Microsoft/Internet Explorer/Toolbar
3 o+ J1 B6 K/ b4 L/ T
6 H/ E8 u4 d$ \9 {! P, @' `
6 j& _, l$ H( b2 i5 F/ t{02496EBD-8455-48db-B3C7-5DAC97D9F5A7} BDSrHook.dll 百度超级搜霸
8 u5 w8 A4 t b \, y2 J+ b1 h% h8 \6 {7 |, o; y
/ }2 H$ ^3 o. b6 [% l) Y
//./adsrsvc 百度超级搜霸/ W, n; n& g! Y7 [6 ^* ]" U
6 g3 @5 s: U0 ?" V
1 @, \* T; k& w! x+ t% x0 c//./BDGuard 百度超级搜霸" e) _0 k/ q' M
1 _, E, o9 t- Z/ n2 O
9 ~: J/ T2 Y0 {* |6 n{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll CNNIC中文上网8 ]4 g+ H; Z% Y `8 u
. R: S$ w8 q& m6 z( {# j6 v- M2 ^8 i- L, E; P3 R( b7 f( v
//./cdnprot CNNIC中文上网
1 w8 |% X9 Q$ z- j, e) I* t
* M0 ]( }* I0 F# q' G- ~( _5 C+ w$ q' |
//./cdntran CNNIC中文上网# W# D* d: Y1 \0 A! n, j4 _: d
# t. m+ B7 i" d$ X( I
. P" @. K% y3 F1 x. v3 P
SOFTWARE/CNNIC/CdnClient
4 ?8 N" M8 e: m# M$ l5 V N7 b6 n6 c4 @: \" c
/ y& d5 z4 R- e# J* Y1 x% B
{2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜5 A) a$ A- o7 ]: Y# S1 g1 V
" s$ Z: J: g! y8 n$ l+ m: A) \- |" f4 ?$ g) j% Y% d- H
//./fad 划词搜索
5 S9 w/ l& d* M3 R
/ n8 n: c7 e4 I- G. K! P' n; y0 m/ |9 s. g" j. j, L& s# Q O
//./anfad 划词搜索# {1 Z% E5 _6 U8 k$ k: U+ U
) Q/ `* {* l( a% b/ B
' A' n/ [$ W0 {' |4 O1 QUindata3 e$ \+ Z, ?1 f/ E$ T2 P) D
3 o2 I' X7 m+ i/ Z% Z# `" e, u http://scdown.qq.com/download/HelperUpdate.htm 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异
& p. j: S8 G8 M6 r5 q
+ q+ l5 l, N0 Q0 E9 \) T2 {
" F, R! t5 o/ rURLDownloadToFileA
0 ^4 t2 p" O" E- s* R6 D' G' G Y6 j+ C
DeleteUrlCacheEntryA
( \6 q0 I) [0 V" [* n0 |+ A5 `! [1 u9 u2 p# D
流氓专用函数
( Z6 e! I$ K: ~! g
1 V1 Z; _0 g- K9 s4 ]yahootw网友的报告:, q, v! f8 y3 B6 k6 u7 c
4 X) u* w" B/ d+ k) I0 S0 e, b" o
7 o( K# N/ c9 O$ g. L今天没事用AVG Anti-Spyware 扫了下 突然惊现一个警报 ! 一个木马 汗 多少年了 没中过木马了 (心情激动十万分~bs自己一下~~~呵呵)!
2 m3 m2 ?* b% e8 S7 K2 |. r# h! |& z
8 j2 Z. W, P) I---------------------------------------------------------
/ e/ y, m5 z4 P8 o
0 W0 \- H% v; Y1 V- ?AVG Anti-Spyware - Scan Report
; ^' v1 V K: J" j7 N/ x: O. Y
8 ^! L& R' U4 e) w: r \% _--------------------------------------------------------8 [6 t1 o9 U% |+ s- Q* F
9 s; F( y: g$ q# y V" e4 w2 W$ f1 o6 t/ [& H! {5 l$ c N5 `
+ Created at: 00:28:25 2006-12-15, c" o; L- ?. b R
# q) B0 e7 I2 u" c. g) t
8 H% o- Z ?% @1 v# y7 a/ M r+ Scan result: . x8 H) m8 O$ d s1 r+ o
8 k( p! M' `' C3 ~
% @: V/ A4 h( S[688] D:\Tencent\qq\QQPhoneHelper.dll -> Logger.BZub.cv : Cleaned with backup (quarantined).5 I3 R: l u" R
! [9 o5 R/ T* ?* F4 Q1 T
::Report end* s" v# ~% v. J; |
9 |5 t0 S6 y! t% D6 S3 c$ X点击看大图
) w K% Q4 f9 v( M0 g) e; lQQPhoneHelper.dll这个东东 到底是不是毒呢?还是杀软误报??搞不懂..呵呵 求高人指点一下!!
: z" M; W0 j' U7 y' A+ Y4 C0 B7 g5 c) b' k2 a& ~
% ]% d8 t$ `8 o8 j* C7 s分析一下 ~~
7 c; O& X- w4 o- Y7 e
4 s: V) P+ u n安装qq2006之后,会出现如下的情况:
2 h8 ]( n% N% M7 ^, |2 \6 z2 j8 ^( r) A4 e% z: Q! G/ L4 L% I
2 ~' D! H9 M& a$ n- S
其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件?这个文件,在QQ退出后,也不会自动删除。. |! U" u5 | W6 j4 E
8 A& g& I2 m6 R5 V& M0 d: E这个临时文件的名字是:~DFD.tmp (或者是随机生成~DF*.tmp)4 e! b9 x1 {* r c4 [
& g, ^6 w7 i0 G" S( n- I/ ?% v' `4 C3 D0 ]4 ]) m) S
其内容用Ultraedit查看是:
* N% y1 S7 D+ j: W: }
3 f8 d* n, ?, L[QQHelper]
8 I: C; B! ~7 z! O: s
7 N. H$ H. G2 R nversion=1.0.0.266 k' { v' Z. ^
: e! p; G. X5 [. W+ ]& Z0 f
url=http://scdown.qq.com/download/QQPhoneHelper.dll
) _. w! o/ Z1 Y2 N1 @ ~# }- _1 I/ H6 O' L9 a9 G
setupfile=QQPhoneHelper.dll
. I4 r9 t1 `+ v4 C. Q) G* O I& w$ d5 w k
9 X- i" u0 I. _+ c0 x$ g3 n把QQPhoneHelper.dll这个文件改名或删除,在启动QQ后,这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 !!!
" D* l# [8 D1 \- k. u" D0 e d4 J, J, E! _- U* L0 [4 C
/ h! d% G1 @; d! R# m而对于这个dll,会在c盘根目录创建"~DTLog.txt"文件
; X+ A0 X# _7 ]! |1 C7 {! {2 y; |. @* y& d; o @; z$ d# Z$ H1 s
2 h {+ D5 [ X1 M$ |
查看跟踪了读入读出请求
7 V, }: x' @$ i9576 01:02:23 QQ.exe:1484 OPEN D:\Tencent\qq\QQPhoneHelper.dll SUCCESS Options: Open Access: Execute4 s8 c1 }9 M' `+ l( B
29577 01:02:23 QQ.exe:1484 CLOSE D:\Tencent\qq\QQPhoneHelper.dll SUCCESS6 k- |- F& z5 ~- L
29578 01:02:23 QQ.exe:1484 OPEN C:\~DTLog.txt SUCCESS Options: OpenIf Access: All4 S6 A8 u9 \0 p" K1 u6 p
29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0" _; |3 d8 Q# s) t
29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0( g( ^, b! m3 K8 G2 e9 o
29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
9 n( ?+ F0 ~% H, d29582 01:02:23 QQ.exe:1484 WRITE C:\~DTLog.txt SUCCESS Offset: 0 Length: 30
7 y$ }# g1 r: D8 {3 f29583 01:02:23 QQ.exe:1484 CLOSE C:\~DTLog.txt SUCCESS, e8 V5 d) y! _1 O/ U6 _! _
- |* I7 R, @/ m" @+ |$ c" n
5 ?# N$ j- x4 X( i
用卡巴,诺顿,AVK等等也是报! |
|
IP卡
狗仔卡
发表于 2007-6-13 10:19:41
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡