|
|
不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建"~DTLog.txt"文件,里面包含一些3721等不太干净的字符串,到底是为什么,360safe论坛的技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.(以下文段来自MJ0011与yahootw网友):
8 C& D0 V# L+ Q1 f% W. TQQ最近释放的一个文件QQPhoneHelper.dll,名字很好听
4 e+ @" P% w. |( \7 J, d6 g+ j8 P c @0 y" O
不过里面就有一些字符串,用了一个比较复杂的类来加密) i$ Z7 `5 i) G! E+ K
1 a4 t' z: F; x- L" J) @看了下,把它们解密了, @$ r: P- p3 U2 s# g) {
2 v' I% Y3 P5 O) k; O. f$ I% d大家来看看是都是些什么见不得人的东西:
& f4 X. T# T" Q; d, z% N" q5 n+ S; i& l6 R' c2 O
{B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll 雅虎助手; c: j, N& W; @) r4 t
/ n+ e, b( f+ u) K6 N5 p1 B: j% y2 q) \
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll 雅虎助手5 [. D' q! N5 T- \9 B
9 p8 V# o5 F7 V4 J5 g
2 n- s& g# R B( g' \
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks, {9 w& @; i5 v, N
+ a2 j: A2 r+ b, o$ d2 r* S2 U' f
8 O: |2 r6 P# C/ @//./CnsMinKP 雅虎助手
2 X4 O7 C) D* Y/ q7 y
3 N% R. X' Z( d8 W$ z
2 E( I2 j; X3 V* |4 n& { \{406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll 雅虎助手% b% D: O2 q5 C9 p& s6 R& h
9 _6 Z9 W# l% U/ b9 H/ }" B$ Q9 |# q$ J7 R8 Q d3 y5 U
SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects& h7 c9 F/ k, V# Q( r1 H
$ Z3 f6 _8 @+ h1 z2 v8 U
+ e' G1 [: l1 l. Z, `SOFTWARE/Microsoft/Internet Explorer/Toolbar& E' {) X7 q$ [- L0 J9 f7 ?$ y
9 z0 W' }* w# T: N3 z6 | Z
3 D! H x& i+ Z( ? l
{02496EBD-8455-48db-B3C7-5DAC97D9F5A7} BDSrHook.dll 百度超级搜霸 u" d% j6 y3 h9 A& U$ L
3 }) y# w# H( j" ?) I
7 V. p! M' o- C$ s( X* c
//./adsrsvc 百度超级搜霸9 C8 h( N o8 a ?9 z5 x% S
) \( u, q" G: `* |. x
9 K/ B3 W( q: k# }//./BDGuard 百度超级搜霸
! r& S, `1 ~3 ]- E" h! `4 m9 R- ~( f; ~6 W- e
8 F9 `, `* }# X9 k
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll CNNIC中文上网# n) J3 w6 ?' m5 Q
7 l: u' ^0 W* y: d7 p& r8 x5 G2 K/ Z
' q! M: C) ?& g+ N! h! ^//./cdnprot CNNIC中文上网
7 x9 ]6 ?. l( r5 F
/ e( ]& Z0 y1 c0 T
. V ~* J6 c6 y* r//./cdntran CNNIC中文上网
( K3 m" e$ C5 G& j, J. n. I* p3 M
6 M$ Y4 {# R6 y; D0 K9 u4 MSOFTWARE/CNNIC/CdnClient7 C/ r2 [ q& p2 }, d" E% }! ~* _: B8 ^
8 f5 H: _) f) S" G" {- I( q. W# k9 i6 \+ T8 G, g/ t4 F! u3 l5 F
{2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜, _. Z, M6 J5 ?
( n8 W! r* [+ L( x+ s( Z" _
/ F" K( s' w$ R4 ?0 h) L9 H: j
//./fad 划词搜索
3 A' J: X4 V* D+ S+ [- i' w, G! @) X6 t1 A
6 @+ n" y& m3 O& K# O U' U! H) y//./anfad 划词搜索
$ K8 l% @) J$ ~ A
|+ l* z6 W2 p# ?1 Z
, P2 z! d( e$ v6 vUindata
. z5 F" S8 D6 o% }7 w( x/ @. h- ~# |9 ~
http://scdown.qq.com/download/HelperUpdate.htm 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异
) T n' |- }# ]6 S& e6 k* L; p! Z8 x8 Z3 r
# h/ a* x6 V: c" X0 c# }
URLDownloadToFileA
- `1 V) g" t% I. e- [4 J2 k! C1 u8 y# z' M" M
DeleteUrlCacheEntryA
_3 O; @7 w. }- o) Y, y7 k
3 W7 |5 t: H) I1 p- u流氓专用函数
6 v; V* Y+ R9 K) ^' S
& z) n! V1 D2 p# Y8 Dyahootw网友的报告:
y! u1 A( s4 R) E( p! d" j4 ~+ P4 N& {* F9 e5 d9 p
" c7 x( p1 R c; U" }7 R
今天没事用AVG Anti-Spyware 扫了下 突然惊现一个警报 ! 一个木马 汗 多少年了 没中过木马了 (心情激动十万分~bs自己一下~~~呵呵)!
- i4 Q/ F6 J* j7 T( @! i! o2 w: E7 v+ L& y* I) ]0 h) |
, Z7 h) N W- {1 w
---------------------------------------------------------3 P8 e/ b6 K8 s1 P' T
1 z/ w0 v' F0 m# e8 y) j! L- |AVG Anti-Spyware - Scan Report* P8 Y O X9 K; f0 o5 l1 c
$ T! v5 D( g) P$ |- d
--------------------------------------------------------! M) \3 U, q' w! u0 R( b/ x
8 g, E0 P8 X- Q) Z2 R
$ h& f5 p* G6 a" q. m5 H0 V+ Created at: 00:28:25 2006-12-15
+ I& a( G2 J7 _$ r
$ d" @% D; Y/ Q* N3 X7 o5 j# U
4 K8 T! F' r5 ^( m+ Scan result:
, R& K2 p" E9 e, y
0 X3 h: ~; r) v( W, J
+ y u# C5 J' B! R' h6 G* t+ C5 H[688] D:\Tencent\qq\QQPhoneHelper.dll -> Logger.BZub.cv : Cleaned with backup (quarantined).
( H, x. \9 l4 q+ }- E7 M
$ i) M) m6 G9 B1 \3 F# y::Report end& {0 w+ p; m: O$ f( |( X' j
6 v% ?# _3 A: _$ R) p点击看大图 ' q: R8 k. T0 B: J' L6 Q8 q% a6 D
QQPhoneHelper.dll这个东东 到底是不是毒呢?还是杀软误报??搞不懂..呵呵 求高人指点一下!!" A0 U% w( F- d
/ x: }+ g4 x% j; H+ a+ X' D- G% X$ B. ]* k
分析一下 ~~
- y$ E: i( ?" ]# O- Z; k Z3 z4 _1 p
安装qq2006之后,会出现如下的情况:
3 V4 V& |2 q0 C8 x/ B' Q" ]. \* x' w0 g2 c' A% ?
5 c; X) v. {& [其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件?这个文件,在QQ退出后,也不会自动删除。
$ l" W2 C* L+ A- [9 w- `/ R# a( q) h/ R* N/ F: ?* [
这个临时文件的名字是:~DFD.tmp (或者是随机生成~DF*.tmp)
2 V5 V3 F) {4 M; O: L
) w+ L7 F( \6 G5 a: U# _+ t6 O P2 g" Q0 w. ?
其内容用Ultraedit查看是:
! [% ?0 ]1 f' l0 ?6 S( p0 K: A2 Z# Z( a% f3 o: J
[QQHelper]
; [3 B. A [1 a+ m# l) n1 C1 U' e6 Y3 F' l: l. ^4 u: o
version=1.0.0.26& u4 k+ A9 {* ?3 g3 g
$ x: c9 m) X. A+ k8 O f1 a n
url=http://scdown.qq.com/download/QQPhoneHelper.dll3 ?' P, X# \: D# Q& I: w! Y
( e$ `& V7 l/ Z, e& Q4 Msetupfile=QQPhoneHelper.dll r) E9 y) m( i n {
- Q2 [3 x9 q. o& F
7 F4 S5 F; X$ C& h! h把QQPhoneHelper.dll这个文件改名或删除,在启动QQ后,这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 !!!$ X9 s+ W8 t" {7 L b
$ g" E, n2 d/ E5 s; Z9 R2 U5 m& _0 T+ a
而对于这个dll,会在c盘根目录创建"~DTLog.txt"文件0 k A+ W7 l2 B5 u5 U
( M8 _0 W3 S. Z% |$ A
$ j# e% Z. I6 H% u/ U0 a$ G# S查看跟踪了读入读出请求% `9 F6 [# _" p+ W7 X3 ~
9576 01:02:23 QQ.exe:1484 OPEN D:\Tencent\qq\QQPhoneHelper.dll SUCCESS Options: Open Access: Execute
7 A' Q& V3 `: X" \. G29577 01:02:23 QQ.exe:1484 CLOSE D:\Tencent\qq\QQPhoneHelper.dll SUCCESS) x$ y2 I7 K' x+ P$ @
29578 01:02:23 QQ.exe:1484 OPEN C:\~DTLog.txt SUCCESS Options: OpenIf Access: All
. q( o7 @5 }( e+ `3 s29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 04 u) {8 H' b3 _) ?
29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
+ g+ K) a% w, E9 m/ ^29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 07 _& `* I& Z8 b; s" E0 H
29582 01:02:23 QQ.exe:1484 WRITE C:\~DTLog.txt SUCCESS Offset: 0 Length: 30
0 e3 J0 L/ M( z- v29583 01:02:23 QQ.exe:1484 CLOSE C:\~DTLog.txt SUCCESS, z" }4 ~& V" n
: m& j8 Y( S9 K
1 w# f! n9 q# l/ N2 ]1 S7 y用卡巴,诺顿,AVK等等也是报! |
|
IP卡
狗仔卡
发表于 2007-6-13 10:19:41
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡