|
|
不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建"~DTLog.txt"文件,里面包含一些3721等不太干净的字符串,到底是为什么,360safe论坛的技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.(以下文段来自MJ0011与yahootw网友):
) ` y: M3 ~, e4 s0 SQQ最近释放的一个文件QQPhoneHelper.dll,名字很好听' o- z5 _ {+ T# v9 Q- V5 G+ M
+ ]7 q" D# v/ s不过里面就有一些字符串,用了一个比较复杂的类来加密0 j: d- K5 o& C( C% Q
: `+ v* j5 @1 [1 U看了下,把它们解密了2 ^2 q m& m0 K3 q6 L
, h1 X1 Y- h/ G% c6 c/ ~- l
大家来看看是都是些什么见不得人的东西: G# w# ^& U, }
4 c/ X" d5 n% e/ [2 ?{B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll 雅虎助手
7 y/ j2 J1 n! g8 V% ?6 w+ V1 W" W3 e9 l
5 }( ^) \2 `% H) Q2 V% i
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll 雅虎助手
/ g1 t- q, a. P- ^7 R
/ x' F, j% i' _5 H' ]. a6 h! r' ]: t+ \( b. l+ }. ^
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks# ?. U% g; f9 _+ ]3 {
/ [3 s" |2 v6 U3 }- Z6 F, s
5 X% ]( U) ~- N3 O* T6 ?//./CnsMinKP 雅虎助手 C( H; x) y w. L" R
# ]+ U$ }4 U4 b- i
" ^$ T1 ^$ K: q2 X{406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll 雅虎助手, F4 `* w8 F* s1 } t: Y
8 d2 Q7 f" y4 x0 j; @' d
9 q: T! H# V( I; WSOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects$ T: C& f9 W: v7 J7 B2 [' }
, w: G1 }5 k; V; I; y1 P2 c, z8 K( o6 e! e) s) d9 a$ {; w
SOFTWARE/Microsoft/Internet Explorer/Toolbar
" r/ o/ u0 f' o# ]2 w( V* w- s4 t' c$ M% `
/ k0 C+ ^4 {1 \, x+ z{02496EBD-8455-48db-B3C7-5DAC97D9F5A7} BDSrHook.dll 百度超级搜霸( T4 O* H/ _3 v; R' Q9 j5 d
) M0 e5 _9 ?9 i
. T9 U8 M! N0 u& g( W$ J//./adsrsvc 百度超级搜霸( J) E9 e- R) o
3 {$ u$ T0 _7 F6 R
# u$ U0 W. N. _6 `$ J
//./BDGuard 百度超级搜霸0 d% K: U5 T5 Q7 Z0 I6 v4 X. @
2 A2 `, M- ~ G: G3 d: c% X$ e! a1 b' C J
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll CNNIC中文上网
( |2 c L% u; \& p8 m/ g& r o+ _* V1 K
# o$ P* A6 Q% Q! Q' E- r* ?2 [
//./cdnprot CNNIC中文上网" j& f; O" J z0 _0 n% Y9 a5 @5 r* m
: m: O0 f6 J0 I0 Y- \+ ]
$ `0 ~$ g% l( \% Y$ d M! v, G//./cdntran CNNIC中文上网
6 Y" p. [& w! u1 D
+ y0 K6 f8 |: u9 `: z; K3 D' h1 w4 I% b/ d5 {
SOFTWARE/CNNIC/CdnClient" o! Y2 L- A$ V( O+ H! ^- d
% O4 j* k7 q4 q0 l8 i1 y& c
3 P @) D( k1 o, |
{2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜" G& i: Z2 ~* @+ I' C5 j- `
6 z: E" X1 J7 }0 s9 i7 j
$ C5 l0 r- `1 i1 t3 {) X3 D3 n//./fad 划词搜索8 a. R+ g% l4 Q9 {8 I
7 j9 k8 p6 Z' I V, X0 Z
! k( U4 s+ S3 l0 U- f: r
//./anfad 划词搜索# d: `5 g# A9 J7 J! c2 |* D) n# e
! X" _, _% s- i6 T' y4 g
1 g' q! Q; ]( G! k3 J U- P( iUindata9 u1 ?# U. t$ [, v! O" ~
* R/ U+ `5 R7 M" s# l5 F http://scdown.qq.com/download/HelperUpdate.htm 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异4 s e5 S1 q3 V# h9 h6 g- u. S2 M! J- @
5 G7 c8 g- B W4 M P: T
' L* R# P& P* x
URLDownloadToFileA
G1 F( E7 t! X2 \8 c/ N' T* {! G1 e- e. y4 `. R
DeleteUrlCacheEntryA# A# e& o6 j& _, Y, Z
0 t& @- |- _* F" S, O! G流氓专用函数
& j8 w0 H, X' ]
7 E: T- }% C7 Ryahootw网友的报告:
) I: d0 x! a( r+ F3 `/ Z$ `
6 H; C# F: A& `6 u7 F) ^, s5 b2 M8 F
今天没事用AVG Anti-Spyware 扫了下 突然惊现一个警报 ! 一个木马 汗 多少年了 没中过木马了 (心情激动十万分~bs自己一下~~~呵呵)!
: V6 d* c2 ~) {2 }8 C/ d& l u: q0 A h0 {' C% Q( u$ j
/ d$ l: K$ p: \9 v5 ^- ~8 {5 J% Z7 I---------------------------------------------------------9 b- ?9 Q: h, h8 {) O( k
6 F1 z: u' |) o; {( @& p- _. a- P' ]AVG Anti-Spyware - Scan Report
; c+ u$ a. B* H" D. q+ n# U
4 `: w" l6 w, w6 K" p, P--------------------------------------------------------
1 n" S, f" V: C& s' N! Z1 V
$ Q7 F" y, c# y$ [6 I" z2 D2 s9 k m9 ?3 P) H5 d7 M
+ Created at: 00:28:25 2006-12-15
0 b+ I1 @" a. H8 n5 I' e; ^2 J8 d
0 ?( g) m2 r8 U* t `* q' _7 O. B6 L5 X7 z, L* c/ u& { U
+ Scan result: 2 `, y4 _/ F* Z" t) r
6 q- m8 K$ e1 L: u6 {
( n) y# ~& a; U" z
[688] D:\Tencent\qq\QQPhoneHelper.dll -> Logger.BZub.cv : Cleaned with backup (quarantined).
) n; X. u ?0 P; c
% X8 V2 M6 R% y2 j+ Z! Y7 q. M::Report end4 W5 \8 `: E9 @$ X
* l# t8 a, m9 f- e: @点击看大图
4 B$ w6 b- }& L2 k2 r, b) mQQPhoneHelper.dll这个东东 到底是不是毒呢?还是杀软误报??搞不懂..呵呵 求高人指点一下!!
$ [& X2 N( ?7 v; W
8 i$ B, |" I9 y7 x$ Q* T% Z L$ E( D: s' E& ?! @( Y
分析一下 ~~. T4 `1 e" p5 s7 h' ^( @0 q! A
% Q/ J% R7 ?2 i8 r' r
安装qq2006之后,会出现如下的情况:
* J) _7 o5 p/ ?) i- k+ I
6 q3 Q, S3 ~1 W! C% @! u
+ M* n5 B( k8 n2 z1 o; u其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件?这个文件,在QQ退出后,也不会自动删除。, E" B, S0 }+ b. ^1 ` q
& `/ d# J7 v2 L6 l( s% X这个临时文件的名字是:~DFD.tmp (或者是随机生成~DF*.tmp)
4 n; y2 [+ w5 y3 c4 E" u% _0 O C2 [ ~2 M! b$ q2 S! K
" {8 r8 a$ @' V其内容用Ultraedit查看是:& H+ w& q: y5 G' ~: U, X) V1 G
- B5 P2 W" v8 q8 O" Q6 Q* P; f[QQHelper]0 s! D9 p- r3 m( e$ K& A- N
" _4 _+ W& m6 [; D( r/ \version=1.0.0.26
& j$ k9 u+ X! R5 c- p* b
' }: u8 j* T* d$ f5 l9 l3 Furl=http://scdown.qq.com/download/QQPhoneHelper.dll, g ~3 \$ F' [5 i( x% \) a
( d8 V7 J/ S- G, \: f' y |
setupfile=QQPhoneHelper.dll6 o% @% ]8 h! G$ u
" |+ ]* d6 X' c; v( a7 r
( F; H; p. H9 S把QQPhoneHelper.dll这个文件改名或删除,在启动QQ后,这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 !!!/ O: [& U6 C1 \3 a: u/ y0 c% ^/ X
8 D' A" m- z$ Z$ } h0 b
. \# ]) j8 n5 X# V- o+ T而对于这个dll,会在c盘根目录创建"~DTLog.txt"文件
! C# b; x/ k& C! d0 D9 q4 h/ W# {! d" I
$ l# X9 j4 D! g" D- s查看跟踪了读入读出请求
; R% Y2 G9 i. w7 y3 d3 Q$ h9576 01:02:23 QQ.exe:1484 OPEN D:\Tencent\qq\QQPhoneHelper.dll SUCCESS Options: Open Access: Execute
, E2 l: [' e" ^6 n$ v0 E. \# w29577 01:02:23 QQ.exe:1484 CLOSE D:\Tencent\qq\QQPhoneHelper.dll SUCCESS
( P$ d! E0 u+ J$ \/ j, [! Z29578 01:02:23 QQ.exe:1484 OPEN C:\~DTLog.txt SUCCESS Options: OpenIf Access: All
9 I! Q2 r5 s6 ] f0 \3 R7 A& T0 T$ g29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0$ K+ p4 L( K4 X/ _6 f
29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0. K% C( r0 `' \% ?5 S9 [
29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 04 `/ N* s8 o* d( D7 N
29582 01:02:23 QQ.exe:1484 WRITE C:\~DTLog.txt SUCCESS Offset: 0 Length: 30
1 Q: V; x, t0 k% X, X/ G3 ?# P29583 01:02:23 QQ.exe:1484 CLOSE C:\~DTLog.txt SUCCESS% ~0 q. a/ P1 [/ K: o3 r
$ [: o" h; _% M7 n
( M9 s* g( T; \" u! ]! K
用卡巴,诺顿,AVK等等也是报! |
|
IP卡
狗仔卡
发表于 2007-6-13 10:19:41
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡