QQ群已经成为一种常用交流工具。各种不同爱好和行业的人群聚集在QQ群里,交流非常方便
最近毒霸安全公司接到大量用户反馈,QQ自动在群里上传黄色信息,不管公司同事群、同学群都会上传,相当的尴尬。
视频~倮窷(‘带^騒’女‘窷’兲)‘
毒霸安全工程师分析得出,该软件利用普通大众好奇心理进行病毒式传播下载类软件,会自动在QQ群里面上传黄色信息
毒霸安全工程师提醒:下载群共享文件请打开金山毒霸杀毒软件,并更新最新的病毒库,遇到特别标题等情况请保持警惕,询问上传者是否确实为他所传播,并询问其他群友是否有人试过,确认安全后方可下载,以免造成造成不必要的尴尬,和财产损失
下面请看毒霸美女分析师的分析:
母体:51gaoqing_3.5.exe
MD5 :EB42D90E930C4EF7A80CE7F68A94A4CE1
51gaoqing_3.5.exe读取本身包含一个DLL文件,申请空间,初始化DLL并跑DLL入口点,执行一下行为
- 1 创建C:Program Files51gaoqingInstaller文件夹,并他压 缩包文件拷贝到此文件夹。
- 2 文件51gaoqing_361.xml重命名51gaoqing_361.exe
- 文件uifocn..xml重命名uifocn..exe
- 文件pipi_dae_221.xml重名为pipi_dae_221.exe
- 3 创建进程启动51gaoqing_361.exe。
- 文件pipi_dae_221.xml重命名pipi_dae_221.exe
- 4 创建文件51gaoqing_Installer.exe
- 5 创建进程51gaoqing_Installer.exe。
复制代码
2 51gaoqing_361进程把在Temp目录创建51gaoqing_361.temp文件,并以这个文件创建进程。
3 51gaoqing_Installer.exe进程启动 uifocn.exe
51gaoqing_Installer.exe进程启动 pipi_dae_221.exe
4 pipi_dae_221.exe进程创建文件pipi_dae_221.tmp文件并以命令行
C:DOCUME~1ADMINI~1LOCALS~1Tempis-OC9IV.tmppipi_setup_221.tmp”/SL5=”$402C8,6197983,72192,C:ProgramFiles51gaoqingInstallerpipi_setup_221.exe” /verysilent启动该程序 ,实际为静默安装PIPI播放器。
5 uifocn.exe 通往HTTP模拟QQ 页快速登录操作得到
转到QQ快读登录页面
向木马服务端www*72kc*com/001.htm发送请求。
得到一个加密的字符串
进行解密得到上传到文件参数
上传文件的附加参数
提交到木马服务端
进行 页操作上传群共享
通过 页信息截取用户ClientKey并提交到远程木马服务端,有用ClientKey可以在不需要密码的情况进行对此QQ进行操作,当QQ 离线,而木马线程继续存在的情况可继续发送共享文件和发起QQ活动。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!