火绒回应拦截腾讯程序:QQ推广产品和病毒行为一致_最新动态_新闻资讯_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
您所在的位置: 程序员俱乐部 > 新闻资讯 > 最新动态 > 火绒回应拦截腾讯程序:QQ推广产品和病毒行为一致

火绒回应拦截腾讯程序:QQ推广产品和病毒行为一致

 2017/12/26 1:39:45    程序员俱乐部  我要评论(0)
  • 摘要:12月25日晚间消息,近日,有用户表示,安全软件火绒腾讯官方程序进行报毒、自动拦截等处理,对此,火绒官方进行了解释和说明。火绒称,之所以拦截腾讯相关产品安装,并且将其中某个模块当病毒处理,是因为腾讯QQ在推广“QQ浏览器”和“腾讯安全管家”的过程中,除了常见的欺骗、诱导之外,还存在功能严重越位、技术手段严重超常规(和某些病毒的行为一致)等问题。据火绒分析,当用户电脑启动QQ后,会通过名为“QQ安全防护进程(Q盾)&rdquo
  • 标签:程序 腾讯 推广 病毒 QQ
class="topic_img" alt=""/>

  12 月 25 日晚间消息,近日,有用户表示,安全软件火绒腾讯官方程序进行报毒、自动拦截等处理,对此,火绒官方进行了解释和说明。火绒称,之所以拦截腾讯相关产品安装,并且将其中某个模块当病毒处理,是因为腾讯 QQ 在推广“QQ 浏览器”和“腾讯安全管家”的过程中,除了常见的欺骗、诱导之外,还存在功能严重越位、技术手段严重超常规(和某些病毒的行为一致)等问题。

  据火绒分析,当用户电脑启动 QQ 后,会通过名为 “QQ 安全防护进程(Q盾)”的保护程序释放病毒“TrojanDownloader/Popeng.a”,随后用户就会收到的推广弹窗。一旦用户点击,上述软件就会立刻被安装到用户电脑。

  “从 11 月底开始,腾讯 QQ 用上述方法大规模推广“QQ 浏览器”,之后又同时推”腾讯电脑管家”。据测算,近一个多月来,每天有数百万乃至上千万安装了 QQ 的电脑,受到此类侵权行为的骚扰。”

  火绒表示,不会影响 QQ、QQ 浏览器、腾讯安全管家等产品的正常运行,只是阻止其捆绑推广过程中的过激的侵权行为。”

  以下为火绒声明全文:

  近日,我们收到许多用户反馈,火绒对腾讯官方程序进行报毒、自动拦截等处理,并因此怀疑火绒产品误杀、误报,现就该问题说明如下。

  火绒产品之所以拦截腾讯相关产品安装,并且将其中某个模块当病毒处理,是因为腾讯 QQ 在推广“QQ 浏览器”和“腾讯安全管家”的过程中,除了常见的欺骗、诱导之外,还存在功能严重越位、技术手段严重超常规(和某些病毒的行为一致)等问题。

  因此火绒并没有误杀、误报,请广大用户看到火绒产品的拦截提示时,放心地阻止即可。需要强调的是,火绒不会影响 QQ、QQ 浏览器、腾讯安全管家等产品的正常运行,只是阻止其捆绑推广过程中的过激的侵权行为。

  对于这些打扰用户、侵害用户权益的商业软件侵权行为,目前全球安全行业惯例都是按照病毒处理,国外安全软件也会同样处理。

  根据“火绒威胁情报系统”的监测,从 11 月底开始,腾讯 QQ 用上述方法大规模推广“QQ 浏览器”,之后又同时推”腾讯电脑管家”。据测算,近一个多月来,每天有数百万乃至上千万安装了 QQ 的电脑,受到此类侵权行为的骚扰。

  详细分析报告如下:


推广弹窗(1)

  推广弹窗(2)

  据火绒安全团队分析,当用户电脑启动 QQ 后,会通过名为 “QQ 安全防护进程(Q盾)”的保护程序释放病毒“TrojanDownloader/Popeng.a”,随后用户就会收到腾讯的推广弹窗。一旦用户点击,上述软件就会立刻被安装到用户电脑。该程序具有很强的隐蔽性,在整个推广过程中,“TrojanDownloader/Popeng.a”会检测用户电脑中是否安装了 “360 安全卫士”,若检测到,推广行为就会终止。此外,“TrojanDownloader/Popeng.a”还能随时接受远程“云控”指令,决定推广软件内容,以及是否继续实施推广。

  据“火绒威胁情报系统”监测,该推广行为从今年 11 月末就已开始,并在持续加大推广力度。

  本着对用户负责的宗旨,“火绒安全软件”针对病毒及静默安装的程序进行拦截报毒,不会删除用户下载的原始程序,请广大用户放心。

  如上两幅图,分别为 QQ 推广的两个不同版本弹窗,第二组推广程序疑似为第一组程序的升级版。推广程序升级之后,不光界面进行了更改,推广行为的隐蔽性也有所加强。在推广软件上,第一组推广程序仅用来推广 QQ 浏览器,而第二组主要推广电脑管家,同时我们也在第二组程序资源中发现了 QQ 浏览器相关的推广资源(见图(2)红框部分)。第二组程序推广行为,如下图所示:

  推广行为

  进程树如下图所示:

  推广程序进程树

  上述推广行为是由 QQProtect.exe 程序触发,虽然该程序的文件描述为“QQ 安全防护进程(Q盾)”,但是却后台进行弹窗推广。文件属性,如下图所示:

  QQProtect.exe 文件属性

  火绒拦截日志,如下图所示:

  火绒拦截日志

  第一组推广程序,由 QQProtect.exe 进程触发,调用 QQUpdPlugin.dll 下载远程 xml 推广数据,远程请求到的 xml 数据可以“云控”推广内容。xml 数据如下图所示:

  xml 推广数据

  获取到 xml 数据之后,程序会根据红框中所示的 downloadfile 标签 url 属性将最终的推广弹窗程序下载到” %temp%\dlqltps.exe”目录中进行执行,该程序注入 explorer 后,用 explorer 进程启动 vfsti.exe 弹出诱导推广弹窗。行为如下图所示:

  推广行为

  第二组推广程序,推广流程更加复杂且更为隐蔽。推广流程还是由 QQProtect.exe 进程触发,首先会下载执行“MOXD1218.EXE”(简称为 MOXD 程序),在该程序的资源中包含有一个可执行程序(XFIXER.exe)和两个动态库(qfaydtc.dll 和 dzor.dll)。

  文件资源,如下图所示:

文件资源

  代码如下图所示:

  资源释放相关代码

  XFIXER.exe 会被注册成 COM 接口,MOXD 程序调用 COM 接口后,会由 svchost 进程启动资源中包含的可执行程序 XFIXER.exe。调用代码如下图所示:

  相关逻辑代码

  在执行完 COM 接口调用之后,MOXD 程序会尝试删除之前注册的 COM 接口注册表项和自身文件。代码如下图所示:

相关逻辑代码

  相关逻辑代码

  该程序启动后会调用 qfaydtc.dll 动态库,解析“云控”xml 推广数据后,最终下载执行推广弹窗程序。虽然推广弹窗程序下载至本地后的文件名近期进行过更改(开始为“TESSFE.EXE”后来变为“MODULE11.exe”),但是推广弹窗程序逻辑未出现变动。xml 推广数据,如下图所示:

xml 推广数据

  xml 推广数据

  如果用户点击弹窗中的关闭按钮后,MODULE11.exe 程序会被重命名为“.tmp”后缀的文件。如下图中的 9.tmp、A.tmp 和B.tmp:

文件列表

  文件列表

发表评论
用户名: 匿名