IT家园 » 病毒控制中心 » 360safe:腾讯QQ也见不得人[图]

西布伦 发表于 2007-5-23 07:55

360safe:腾讯QQ也见不得人[图]

[table=98%][tr][td=2,1]     不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建"~DTLog.txt"文件,里面包含一些3721等不太干净的字符串,到底是为什么,360safe论坛的技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.(以下文段来自MJ0011与yahootw网友):
    QQ最近释放的一个文件QQPhoneHelper.dll,名字很好听
    不过里面就有一些字符串,用了一个比较复杂的类来加密
    看了下,把它们解密了
    大家来看看是都是些什么见不得人的东西:
    {B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll  雅虎助手

    {D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll  雅虎助手

    SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks

    //./CnsMinKP   雅虎助手

    {406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll  雅虎助手

    SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects

    SOFTWARE/Microsoft/Internet Explorer/Toolbar

    {02496EBD-8455-48db-B3C7-5DAC97D9F5A7}  BDSrHook.dll 百度超级搜霸

    //./adsrsvc  百度超级搜霸

    //./BDGuard 百度超级搜霸

    {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll  CNNIC中文上网

    //./cdnprot  CNNIC中文上网

    //./cdntran CNNIC中文上网

    SOFTWARE/CNNIC/CdnClient

    {2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜

    //./fad 划词搜索

    //./anfad 划词搜索

    Uindata

    [url]http://scdown.qq.com/download/HelperUpdate.htm[/url] 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异

    URLDownloadToFileA
    DeleteUrlCacheEntryA
    流氓专用函数
    yahootw网友的报告:

    今天没事用AVG Anti-Spyware 扫了下  突然惊现一个警报  ！ 一个木马  汗  多少年了 没中过木马了  (心情激动十万分~bs自己一下~~~呵呵)！

    ---------------------------------------------------------
    AVG Anti-Spyware - Scan Report
    --------------------------------------------------------

    + Created at:    00:28:25  2006-12-15

    + Scan result:   

    [688] D:\Tencent\qq\[b]QQPhoneHelper[/b].dll -> Logger.BZub.cv : Cleaned with backup (quarantined).

::Report end

[align=center][img=500,363]http://img.skycn.com/newsimg/20070521-2.jpg[/img][/align][align=center]点击看大图[/align]     [b]QQPhoneHelper[/b].dll这个东东 到底是不是毒呢？还是杀软误报？？搞不懂..呵呵 求高人指点一下！！

    分析一下 ~~
    安装qq2006之后，会出现如下的情况：

    其中含有一个[b]QQPhoneHelper[/b].dll这个文件在系统临时文件夹中生成一个临时文件？这个文件，在QQ退出后，也不会自动删除。
    这个临时文件的名字是：~DFD.tmp (或者是随机生成~DF*.tmp)

    其内容用Ultraedit查看是：
    [QQHelper]
    version=1.0.0.26
    url=http://scdown.qq.com/download/[b]QQPhoneHelper[/b].dll
    setupfile=[b]QQPhoneHelper[/b].dll

    把[b]QQPhoneHelper[/b].dll这个文件改名或删除，在启动QQ后，这个文件会由[color=#0000ff]http://scdown.qq.com/download/[/color][b]QQPhoneHelper[/b][color=#0000ff].dll[/color] 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 ！！！

    而对于这个dll，会在c盘根目录创建"~DTLog.txt"文件

    查看跟踪了读入读出请求
9576 01:02:23 QQ.exe:1484 OPEN D:\Tencent\qq\[b]QQPhoneHelper[/b].dll SUCCESS Options: Open Access: Execute
29577 01:02:23 QQ.exe:1484 CLOSE D:\Tencent\qq\[b]QQPhoneHelper[/b].dll SUCCESS
29578 01:02:23 QQ.exe:1484 OPEN C:\~DTLog.txt SUCCESS Options: OpenIf Access: All
29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
29582 01:02:23 QQ.exe:1484 WRITE C:\~DTLog.txt SUCCESS Offset: 0 Length: 30
29583 01:02:23 QQ.exe:1484 CLOSE C:\~DTLog.txt SUCCESS

    用卡巴，诺顿，AVK等等也是报！
[b]    查看:[/b]在QQPhoneHelper.dll中见不得人的一些东西
[b]    查看:[/b]【全体注意】腾讯QQ也制造毒？？？也耍流氓！

  

[/td][/tr][/table]

concorde 发表于 2007-6-10 20:30

我对C盘根目录下的文件看见不懂就直接删了

wangjiahang1314 发表于 2007-6-11 13:41

回复 #2 concorde 的帖子

那可不行!!

wangjiahang1314 发表于 2007-6-11 13:42

再用别的杀软试试

sh047 发表于 2007-6-13 01:38

坚决抵制QQ！！！！！！！！！

rxyao 发表于 2007-6-20 14:43

我的好像没有啊！！！

查看完整版本: 360safe:腾讯QQ也见不得人[图]