|
|
不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建"~DTLog.txt"文件,里面包含一些3721等不太干净的字符串,到底是为什么,360safe论坛的技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.(以下文段来自MJ0011与yahootw网友):' A' a# C9 o% u0 t: g" ^
QQ最近释放的一个文件QQPhoneHelper.dll,名字很好听
4 N& `0 \5 z0 y, Z" r! z" `" b5 `- L0 J0 {7 ^, A" ~ o5 z
不过里面就有一些字符串,用了一个比较复杂的类来加密
) T+ ^; s6 `+ v, t* Q- ^9 Z! V9 ?. v0 ~# O2 C( o
看了下,把它们解密了
. L1 {! b3 J) k) R; ^( W# Z( {% m5 n# t3 ^) |& Z
大家来看看是都是些什么见不得人的东西:
3 z. @5 J @7 {& d8 {, s3 e$ F u% x% B/ B
{B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll 雅虎助手
# u$ m3 E/ I- g5 L6 G
+ w7 j' a" g h" k; i4 H9 \$ b ]6 ]( Y& b* V" }9 S
{D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll 雅虎助手
" d* _1 i! \- r* H: R6 L& m: U
/ l( M1 i+ `0 N. A
5 `- v9 L" h1 N$ YSOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
: L5 I0 m: V2 g# M! z6 q, z' a6 F9 h; P1 }
$ O6 ?3 [6 J6 S
//./CnsMinKP 雅虎助手
# O# [6 c" @: j: ^# I3 e" t+ ]/ N& Q; L3 r9 T' K
" w4 J K8 N" u' G/ e
{406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll 雅虎助手
' K; v6 ~) e" f. _5 ?2 y7 K
& V2 Y5 T$ a, ?# R: O6 r; F
# B) b3 D* c0 x7 w) QSOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects
( x: f" p- c0 d. A4 c) s* Y7 m( i) ?3 r: J* B- ^& v. t* t/ h w9 w6 {
# e8 S& q' e7 [% u
SOFTWARE/Microsoft/Internet Explorer/Toolbar7 A7 c/ G$ C9 m4 W4 b7 ~ E
8 S* Y7 j* D, {8 p t$ x. g
$ o. t5 p* j: N- o$ k' g. ], b{02496EBD-8455-48db-B3C7-5DAC97D9F5A7} BDSrHook.dll 百度超级搜霸
" z8 _: B5 @7 C
+ l# {8 B0 u2 E+ o t
C+ v2 H( o, T//./adsrsvc 百度超级搜霸2 n0 v- h# S2 ]* N
" k) p# y, I: B7 q4 B6 { x! X& \. y5 {4 o8 g( B
//./BDGuard 百度超级搜霸, U) }8 \; p1 i# z) S
r: F1 c; L3 ?2 M+ Q& r$ T8 }' `+ W0 i
{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll CNNIC中文上网
; Q3 D9 i$ a& I1 |" ~( Y/ H+ M- \& i2 X9 W/ h* g' L; T
' d! e" `8 d. c6 V# [
//./cdnprot CNNIC中文上网
/ {4 E- n8 _* R* l0 u8 k
* ? v7 ^, r+ M6 v Z. f; h( g! m' Q- U0 O+ [9 B5 d
//./cdntran CNNIC中文上网
, p7 W. ^4 g3 ]# I) L/ k& @
! K! f4 s+ s w- q- i8 W9 N, j0 G: V& K5 U. b) h2 w
SOFTWARE/CNNIC/CdnClient
" t" o4 G! A/ Y7 m# `
3 C' t2 k3 L! B* g; O- k# C( h3 X1 m- U
{2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜7 r) T# D; M% k* l; t% D! j
, Z m' g; q* c
+ S* b# @9 d9 e4 w- h
//./fad 划词搜索* K, }1 C. }9 ]' q2 g
0 i& Q- Z, x# J9 F5 g
1 U! S; l% z% C4 e) D& s//./anfad 划词搜索. O1 c& Q+ l# ?4 n
2 E/ f% u" j" w/ [9 _+ N6 ^% k
# c* s# l( L6 r. R# j5 [& QUindata
, U3 J+ F* Z$ ?& D6 S1 J: n' Z% `9 H3 X. D. A i, e1 q; p
http://scdown.qq.com/download/HelperUpdate.htm 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异
% j A6 H1 _3 Z7 y; j# `; J: l: [5 ^: p& n7 K" ^$ y
% R8 c$ g7 s# X; R1 V2 \& \" l0 JURLDownloadToFileA: Z1 N7 t+ E9 `
6 M9 }; k* l d/ k- |3 sDeleteUrlCacheEntryA
, }! k; _' J$ T5 \5 H4 q. m+ }
' j( `% i7 u; h6 M4 ?流氓专用函数1 I- W$ O' w, s. o$ J
7 t% N& S! A3 n- H. l5 h& s
yahootw网友的报告:
* N2 i; x n+ c/ t6 \- _: d! c* ]
! N3 X/ Y2 d c% K
今天没事用AVG Anti-Spyware 扫了下 突然惊现一个警报 ! 一个木马 汗 多少年了 没中过木马了 (心情激动十万分~bs自己一下~~~呵呵)!/ x% d/ v9 t" k: H
+ u) V8 V- Q; h/ y; ^. W
, D) R5 U" |" m7 J--------------------------------------------------------- K' {6 i# u7 t$ v9 Z
8 A, g* x, {3 z; Y, ?& HAVG Anti-Spyware - Scan Report5 O) k8 t1 }0 e$ S4 H0 w) C
1 H) K& `' O9 W( Z% s--------------------------------------------------------
4 \+ b$ I# U- l# V
. M) ]8 n1 T3 @2 b. _
# H8 b1 b% X& U$ O+ Created at: 00:28:25 2006-12-15
+ j( g& q% O o) s( W- V
4 i# O% o& q0 u/ J
8 y8 v" {" R! g: P7 H+ Scan result:
; [ V: }- {% L7 c; N# X; S9 S9 P0 E5 E" c) O
, o# F' k2 ~+ |) u3 C2 {' Z( j[688] D:\Tencent\qq\QQPhoneHelper.dll -> Logger.BZub.cv : Cleaned with backup (quarantined).
" d9 Y1 W+ Q# |* y8 p( t K) {- y+ b! G k
::Report end$ Q' Q; |7 ]* z! d" X4 H9 ^
# X" g; [' {& H点击看大图
8 O, n0 S- H' l! v7 LQQPhoneHelper.dll这个东东 到底是不是毒呢?还是杀软误报??搞不懂..呵呵 求高人指点一下!!# s2 ]8 r8 k! |: P6 @4 k+ T3 a7 X% }1 p
+ O% X* H: x% o% y* n9 P
7 R( h" }, j' C
分析一下 ~~
& U1 v( }7 s* e0 t$ F' B6 Z( |8 d8 H8 i$ s5 n
安装qq2006之后,会出现如下的情况:: k0 A* ^6 H# ?3 M- m
# `9 g; K: D# c, U5 c6 Y* g: i
! V" C4 i- T( `+ U% a* l
其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件?这个文件,在QQ退出后,也不会自动删除。. ?, ], P# r9 \1 x* [" q
' o* Z; [5 g) x# b/ t t这个临时文件的名字是:~DFD.tmp (或者是随机生成~DF*.tmp)' Q& G* n: t6 }
/ ], [% p! \+ s% j& X8 U
( v3 a) z! Y( d2 M8 B/ i6 A: O- E其内容用Ultraedit查看是:3 A; J6 a( a/ o% T2 P+ A
, ~* S: g9 `2 K* n
[QQHelper]0 p3 @1 y& F: L# z9 J/ t' h
3 f6 k% B, p2 D$ b& Dversion=1.0.0.263 o/ T- I$ U) |2 x# @! Q; V
3 \, k: `2 R- |- F% vurl=http://scdown.qq.com/download/QQPhoneHelper.dll
2 l# ?3 O# @4 t1 U4 i- J$ k$ L, c
/ e, R x3 u* P1 A- F& Ysetupfile=QQPhoneHelper.dll
# S- c1 t/ \; G6 e3 Z" a: t: C
7 i* Z) {1 @1 x! A
把QQPhoneHelper.dll这个文件改名或删除,在启动QQ后,这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 !!!: U; ~1 R) L# c
- T" t3 S9 E& k$ k! m
" {! x4 e7 f1 v5 x5 J
而对于这个dll,会在c盘根目录创建"~DTLog.txt"文件 {& e5 R" D6 o e! i8 I" s3 W
; q3 V* h2 i; A
8 ~3 O0 X' Q* R9 v6 V, }- _查看跟踪了读入读出请求
8 W4 k2 x1 {' m; l2 n9576 01:02:23 QQ.exe:1484 OPEN D:\Tencent\qq\QQPhoneHelper.dll SUCCESS Options: Open Access: Execute& e2 T8 Z3 P, u% }# T" j7 F) w
29577 01:02:23 QQ.exe:1484 CLOSE D:\Tencent\qq\QQPhoneHelper.dll SUCCESS+ x1 q2 h3 b6 H0 u, A
29578 01:02:23 QQ.exe:1484 OPEN C:\~DTLog.txt SUCCESS Options: OpenIf Access: All
* [9 r. [9 p& T5 ]$ e0 T2 O$ g2 g29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
' I3 _+ g* G3 W, O) w2 z" r& p! _0 `29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 01 p8 s% V( D* D
29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0* _& O3 @' }9 L1 \, I
29582 01:02:23 QQ.exe:1484 WRITE C:\~DTLog.txt SUCCESS Offset: 0 Length: 30# ?9 Q$ Y9 y( r. s/ ~
29583 01:02:23 QQ.exe:1484 CLOSE C:\~DTLog.txt SUCCESS9 a* V$ Q* V6 x! C$ w, Y, a/ w5 A
3 d M( ]/ ]* O6 o; @" [
) v: w* c) a& u; D' h
用卡巴,诺顿,AVK等等也是报! |
|
IP卡
狗仔卡
发表于 2007-6-13 10:19:41
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡