火绒回应拦截腾讯程序：QQ推广产品和病毒行为一致_最新动态_新闻资讯_程序员俱乐部

　　12 月 25 日晚间消息，近日，有用户表示，安全软件火绒腾讯官方程序进行报毒、自动拦截等处理，对此，火绒官方进行了解释和说明。火绒称，之所以拦截腾讯相关产品安装，并且将其中某个模块当病毒处理，是因为腾讯 QQ 在推广“QQ 浏览器”和“腾讯安全管家”的过程中，除了常见的欺骗、诱导之外，还存在功能严重越位、技术手段严重超常规（和某些病毒的行为一致）等问题。

　　据火绒分析，当用户电脑启动 QQ 后，会通过名为 “QQ 安全防护进程（Q盾）”的保护程序释放病毒“TrojanDownloader/Popeng.a”，随后用户就会收到的推广弹窗。一旦用户点击，上述软件就会立刻被安装到用户电脑。

　　“从 11 月底开始，腾讯 QQ 用上述方法大规模推广“QQ 浏览器”，之后又同时推”腾讯电脑管家”。据测算，近一个多月来，每天有数百万乃至上千万安装了 QQ 的电脑，受到此类侵权行为的骚扰。”

　　火绒表示，不会影响 QQ、QQ 浏览器、腾讯安全管家等产品的正常运行，只是阻止其捆绑推广过程中的过激的侵权行为。”

　　以下为火绒声明全文：

　　近日，我们收到许多用户反馈，火绒对腾讯官方程序进行报毒、自动拦截等处理，并因此怀疑火绒产品误杀、误报，现就该问题说明如下。

　　火绒产品之所以拦截腾讯相关产品安装，并且将其中某个模块当病毒处理，是因为腾讯 QQ 在推广“QQ 浏览器”和“腾讯安全管家”的过程中，除了常见的欺骗、诱导之外，还存在功能严重越位、技术手段严重超常规（和某些病毒的行为一致）等问题。

　　因此火绒并没有误杀、误报，请广大用户看到火绒产品的拦截提示时，放心地阻止即可。需要强调的是，火绒不会影响 QQ、QQ 浏览器、腾讯安全管家等产品的正常运行，只是阻止其捆绑推广过程中的过激的侵权行为。

　　对于这些打扰用户、侵害用户权益的商业软件侵权行为，目前全球安全行业惯例都是按照病毒处理，国外安全软件也会同样处理。

　　根据“火绒威胁情报系统”的监测，从 11 月底开始，腾讯 QQ 用上述方法大规模推广“QQ 浏览器”，之后又同时推”腾讯电脑管家”。据测算，近一个多月来，每天有数百万乃至上千万安装了 QQ 的电脑，受到此类侵权行为的骚扰。

　　详细分析报告如下：

推广弹窗（1）

　　推广弹窗（2）

　　据火绒安全团队分析，当用户电脑启动 QQ 后，会通过名为 “QQ 安全防护进程（Q盾）”的保护程序释放病毒“TrojanDownloader/Popeng.a”，随后用户就会收到腾讯的推广弹窗。一旦用户点击，上述软件就会立刻被安装到用户电脑。该程序具有很强的隐蔽性，在整个推广过程中，“TrojanDownloader/Popeng.a”会检测用户电脑中是否安装了 “360 安全卫士”，若检测到，推广行为就会终止。此外，“TrojanDownloader/Popeng.a”还能随时接受远程“云控”指令，决定推广软件内容，以及是否继续实施推广。

　　据“火绒威胁情报系统”监测，该推广行为从今年 11 月末就已开始，并在持续加大推广力度。

　　本着对用户负责的宗旨，“火绒安全软件”针对病毒及静默安装的程序进行拦截报毒，不会删除用户下载的原始程序，请广大用户放心。

　　如上两幅图，分别为 QQ 推广的两个不同版本弹窗，第二组推广程序疑似为第一组程序的升级版。推广程序升级之后，不光界面进行了更改，推广行为的隐蔽性也有所加强。在推广软件上，第一组推广程序仅用来推广 QQ 浏览器，而第二组主要推广电脑管家，同时我们也在第二组程序资源中发现了 QQ 浏览器相关的推广资源（见图（2）红框部分）。第二组程序推广行为，如下图所示：

　　推广行为

　　进程树如下图所示：

　　推广程序进程树

　　上述推广行为是由 QQProtect.exe 程序触发，虽然该程序的文件描述为“QQ 安全防护进程（Q盾）”，但是却后台进行弹窗推广。文件属性，如下图所示：

　　QQProtect.exe 文件属性

　　火绒拦截日志，如下图所示：

　　火绒拦截日志

　　第一组推广程序，由 QQProtect.exe 进程触发，调用 QQUpdPlugin.dll 下载远程 xml 推广数据，远程请求到的 xml 数据可以“云控”推广内容。xml 数据如下图所示：

　　xml 推广数据

　　获取到 xml 数据之后，程序会根据红框中所示的 downloadfile 标签 url 属性将最终的推广弹窗程序下载到” %temp%\dlqltps.exe”目录中进行执行，该程序注入 explorer 后，用 explorer 进程启动 vfsti.exe 弹出诱导推广弹窗。行为如下图所示：

　　推广行为

　　第二组推广程序，推广流程更加复杂且更为隐蔽。推广流程还是由 QQProtect.exe 进程触发，首先会下载执行“MOXD1218.EXE”（简称为 MOXD 程序），在该程序的资源中包含有一个可执行程序（XFIXER.exe）和两个动态库（qfaydtc.dll 和 dzor.dll）。

　　文件资源，如下图所示：

文件资源

　　代码如下图所示：

　　资源释放相关代码

　　XFIXER.exe 会被注册成 COM 接口，MOXD 程序调用 COM 接口后，会由 svchost 进程启动资源中包含的可执行程序 XFIXER.exe。调用代码如下图所示：

　　相关逻辑代码

　　在执行完 COM 接口调用之后，MOXD 程序会尝试删除之前注册的 COM 接口注册表项和自身文件。代码如下图所示：

　　相关逻辑代码

　　该程序启动后会调用 qfaydtc.dll 动态库，解析“云控”xml 推广数据后，最终下载执行推广弹窗程序。虽然推广弹窗程序下载至本地后的文件名近期进行过更改（开始为“TESSFE.EXE”后来变为“MODULE11.exe”），但是推广弹窗程序逻辑未出现变动。xml 推广数据，如下图所示：

　　xml 推广数据

　　如果用户点击弹窗中的关闭按钮后，MODULE11.exe 程序会被重命名为“.tmp”后缀的文件。如下图中的 9.tmp、A.tmp 和B.tmp：

　　文件列表