-
UID:17777
-
- 注册时间2007-05-02
- 最后登录2024-04-25
- 在线时间18416小时
-
- 发帖770867
- 搜Ta的帖子
- 精华0
- 飞翔币207694
- 威望215657
- 飞扬币2511641
- 信誉值8
-
访问TA的空间加好友用道具
- 发帖
- 770867
- 飞翔币
- 207694
- 威望
- 215657
- 飞扬币
- 2511641
- 信誉值
- 8
|
[font=-apple-system, BlinkMacSystemFont, "]近期,火绒工程师根据用户反馈,发现一款名为“QQ游戏智能机器人”的外挂程序,会针对广大游戏玩家,搜集和回传隐私数据,包括带有色情相关关键字的文件及含密码、账号、通信录、笔记等关键字的文件,被搜集的文件类型包括文档、图片、视频等。火绒用户无需担心,火绒安全软件已对该木马程序进行拦截查杀。 [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]通过分析发现,该木马程序制作者通过云控会将任意QQ号列入黑名单,并删除其大量文件。除此之外,提供该木马程序的下载站,甚至会提醒用户“个别杀软误报本软件,请不要相信,本软件不是病毒木马,运行辅助前请请先退出杀软“。[font=-apple-system, BlinkMacSystemFont, "]游戏玩家受众较广,从事网络游戏外挂黑产的团队随之增多,市面上流通的外挂软件种类也不断增加。这类灰色程序软件,通常会携带各类病毒,威胁用户安全。火绒工程师提醒大家,请谨慎下载不明软件,如需下载应用软件请通过正规官网链接,并使用火绒及时查杀;如果必须使用某些不明程序,可以提前开启安全软件进行扫描、查杀,或者前往火绒论坛求助,确保文件、程序安全后再运行,以免遭遇风险。[font=-apple-system, BlinkMacSystemFont, "]附:【分析报告】[font=-apple-system, BlinkMacSystemFont, "]一、详细分析 [font=-apple-system, BlinkMacSystemFont, "]近期根据用户反馈,在运行“QQ游戏智能机器人”程序之后,电脑中出现大量文件被删除的现象,恶意程序相关主页hxxp://www.qqfzn.com。经过分析发现,该模块包含云控上传文件以及删除文件逻辑。当用户使用该软件时,便会根据配置上传指定文件(上传开关暂未开启)。同时当用户QQ号或点卡卡号在该病毒配置的黑名单中时,便会遍历磁盘删除用户的文件。软件界面,如下图所示: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]软件界面[font=-apple-system, BlinkMacSystemFont, "]病毒会从C&C服务器(hxxp://www.bseas.com/sm/qb6/k.xml)请求配置,里面包含升级,黑名单,上传文件配置等信息。部分配置文件内容,如下图所示: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]配置文件[font=-apple-system, BlinkMacSystemFont, "]病毒通过遍历QQ UserDataSavePath目录的方式获得用户机器上登录过的QQ号,如果用户QQ账号或点卡卡号在黑名单中,那么病毒便会遍历磁盘,删除除了后缀名为.exe、.dll、.sys、.ini、.txt、.db、.lnk、.log以及配置文件中fileextp字段后缀名以外的文件。相关代码,如下图所示: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]检查用户QQ是否在黑名单中[font=-apple-system, BlinkMacSystemFont, "]除此之外,恶意程序还会根据上传配置中fileext和fileext2字段,遍历上传扩展名为.doc、.docx、.xls、.xlsx、.ppt、.pptx、.jpg、.txt、.zip、.rar、.mp4、.wmv、.mpeg的文件(且上传文件大小需小于16M)。tryflag字段为尝试上传用户文件的开关,根据火绒现阶段请求结果,该开关暂为关闭状态。相关逻辑代码如下图所示: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]遍历磁盘删除文件及上传指定后缀名文件相关逻辑[font=-apple-system, BlinkMacSystemFont, "]文件上传时,恶意代码会判断文件名中是否带有指定的关键字(yeskey上传文件关键、nokey为禁止上传的关键字)。上传文件控制关键字列表,如下图所示: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]上传文件控制关键字列表[font=-apple-system, BlinkMacSystemFont, "]禁止上传的控制关键字列表,如下图所示: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]禁止上传的控制关键字列表[font=-apple-system, BlinkMacSystemFont, "]文件上传相关代码逻辑,如下图所示: [font=-apple-system, BlinkMacSystemFont, "][font=-apple-system, BlinkMacSystemFont, "]文件上传相关代码逻辑[font=-apple-system, BlinkMacSystemFont, "]二、 附录[font=-apple-system, BlinkMacSystemFont, "]病毒hash
|
