虫部落

查看: 1397|回复: 11

马化腾致歉腾讯产品病毒式弹窗 火绒发布拦截说明

[复制链接]

227

主题

678

帖子

1万

积分

版主

Rank: 7Rank: 7Rank: 7

积分
19024

设计达人工蜂勋章蜂蛹勋章现居黑龙江

发表于 2017-12-27 11:46:54 | 显示全部楼层 |阅读模式
本帖最后由 撩月 于 2017-12-27 11:49 编辑
知名IT评论人洪波在朋友圈转发了安全软件火绒对腾讯官方程序进行报毒、自动拦截等处理的解释和说明的文章,腾讯公司董事局主席马化腾随后在该状态下评论。

洪波转发文章时表示,“一帮认真的、固执的、低情商的家伙做安全产品,谁的面子都不给,你说他们这生意做的下去吗?”随后,马化腾回应说,“自查了,确实是我们团队违规出问题了,已严格要求整改和道歉。”

火绒产品之所以拦截腾讯相关产品安装,并且将其中某个模块当病毒处理,是因为腾讯QQ在推广“QQ浏览器”和“腾讯安全管家”的过程中,除了常见的欺骗、诱导之外,还存在功能严重越位、技术手段严重超常规(和某些病毒的行为一致)等问题。

对于这些打扰用户、侵害用户权益的商业软件侵权行为,目前全球安全行业惯例都是按照病毒处理,国外安全软件也会同样处理。

根据“火绒威胁情报系统”的监测,从11月底开始,腾讯QQ用上述方法大规模推广“QQ浏览器”,之后又同时推”腾讯电脑管家”。据测算,近一个多月来,每天有数百万乃至上千万安装了QQ的电脑,受到此类侵权行为的骚扰


详细分析报告如下(官方说明):


推广弹窗(1)


推广弹窗(2)

据火绒安全团队分析,当用户电脑启动QQ后,会通过名为 “QQ安全防护进程(Q盾)” 的保护程序释放病毒“TrojanDownloader/Popeng.a”,随后用户就会收到腾讯的推广弹窗。一旦用户点击,上述软件就会立刻被安装到用户电脑。该程序具有很强的隐蔽性,在整个推广过程中,“TrojanDownloader/Popeng.a”会检测用户电脑中是否安装了 “360安全卫士”,若检测到,推广行为就会终止。此外,“TrojanDownloader/Popeng.a”还能随时接受远程“云控”指令,决定推广软件内容,以及是否继续实施推广。
据“火绒威胁情报系统”监测,该推广行为从今年11月末就已开始,并在持续加大推广力度。

本着对用户负责的宗旨,“火绒安全软件”针对病毒及静默安装的程序进行拦截报毒,不会删除用户下载的原始程序,请广大用户放心。

如上两幅图,分别为QQ推广的两个不同版本弹窗,第二组推广程序疑似为第一组程序的升级版。推广程序升级之后,不光界面进行了更改,推广行为的隐蔽性也有所加强。在推广软件上,第一组推广程序仅用来推广QQ浏览器,而第二组主要推广电脑管家,同时我们也在第二组程序资源中发现了QQ浏览器相关的推广资源(见图(2)红框部分)。第二组程序推广行为,如下图所示:



推广行为

进程树如下图所示:


推广程序进程树

上述推广行为是由QQProtect.exe程序触发,虽然该程序的文件描述为“QQ安全防护进程(Q盾)”,但是却后台进行弹窗推广。文件属性,如下图所示:


QQProtect.exe文件属性

火绒拦截日志,如下图所示:


火绒拦截日志

第一组推广程序,由QQProtect.exe进程触发,调用QQUpdPlugin.dll下载远程xml推广数据,远程请求到的xml数据可以“云控”推广内容。xml数据如下图所示:


xml推广数据

获取到xml数据之后,程序会根据红框中所示的downloadfile标签url属性将最终的推广弹窗程序下载到” %temp%\dlqltps.exe”目录中进行执行,该程序注入explorer后,用explorer进程启动vfsti.exe弹出诱导推广弹窗。行为如下图所示:


推广行为

第二组推广程序,推广流程更加复杂且更为隐蔽。推广流程还是由QQProtect.exe进程触发,首先会下载执行“MOXD1218.EXE”(简称为MOXD程序),在该程序的资源中包含有一个可执行程序(XFIXER.exe)和两个动态库(qfaydtc.dll和dzor.dll)。
文件资源,如下图所示:


文件资源

代码如下图所示:


资源释放相关代码

XFIXER.exe会被注册成COM接口,MOXD程序调用COM接口后,会由svchost进程启动资源中包含的可执行程序XFIXER.exe。调用代码如下图所示:


相关逻辑代码

在执行完COM接口调用之后,MOXD程序会尝试删除之前注册的COM接口注册表项和自身文件。代码如下图所示:



相关逻辑代码

该程序启动后会调用qfaydtc.dll动态库,解析“云控”xml推广数据后,最终下载执行推广弹窗程序。虽然推广弹窗程序下载至本地后的文件名近期进行过更改(开始为“TESSFE.EXE”后来变为“MODULE11.exe”),但是推广弹窗程序逻辑未出现变动。xml推广数据,如下图所示:


xml推广数据

如果用户点击弹窗中的关闭按钮后,MODULE11.exe程序会被重命名为“.tmp”后缀的文件。如下图中的9.tmp、A.tmp和B.tmp:


文件列表

评分

参与人数 3蚕丝 +5 虫币 +3 蜂蜜 +1 收起 理由
木落 + 1 + 1 + 1 评分即表白!楼主感受到了吗?.
沉醉痴人梦 + 2 评分即表白!楼主感受到了吗?.
Frank + 2 + 2

查看全部评分

撩妹不免俗气了,还是跟我左右手一个慢动作——撩月吧

6

主题

134

帖子

6945

积分

金牌会员

积分
6945

现居河南现居广东

发表于 2017-12-27 12:00:18 | 显示全部楼层
包图网PPT模板下载
好详细,慢慢看
~Less is more~

778

主题

3746

帖子

7万

积分

版主

Rank: 7Rank: 7Rank: 7

积分
71548

现居四川我的家乡在陕西

QQ
发表于 2017-12-27 12:11:12 | 显示全部楼层
优达学城微信小程序开发课程
本帖最后由 虫子 于 2017-12-27 12:13 编辑

同事曾经对我说:你适合找一个古灵精怪,没事儿就欺负你的女生。

0

主题

47

帖子

2876

积分

高级会员

积分
2876

我的家乡在安徽现居四川

发表于 2017-12-27 13:34:51 | 显示全部楼层
火绒真的良心软件 力推
好吃好看好玩

0

主题

9

帖子

439

积分

注册会员

积分
439

现居江苏我的家乡在河南

QQ
发表于 2017-12-27 14:16:08 | 显示全部楼层
本帖最后由 撩月 于 2017-12-27 14:30 编辑

火绒已默默陪伴在下598天,感觉良好!

火绒

火绒

1

主题

298

帖子

5682

积分

金牌会员

积分
5682

现居广东我的家乡在广东

QQ
发表于 2017-12-27 17:09:54 | 显示全部楼层
看了后马上装了个火绒,用起来还不错;很轻的软件;
楼主分享下规则呗

0

主题

42

帖子

748

积分

中级会员

积分
748
发表于 2017-12-29 09:10:50 | 显示全部楼层
看完默默去下载火绒。。

0

主题

6

帖子

309

积分

注册会员

积分
309
发表于 2018-1-2 22:09:56 | 显示全部楼层
好可怕,现在都这么狠了呀

0

主题

11

帖子

250

积分

注册会员

积分
250
QQ
发表于 2018-1-3 11:11:56 | 显示全部楼层
论如何做一个纯粹的厂商和一个纯粹的人!

0

主题

5

帖子

88

积分

新手上路

积分
88
发表于 2018-1-3 16:14:19 | 显示全部楼层
早就改出来给广大人民群众一个交代了
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表