詳細分析報告如下:
火絨稱騰訊qq存在功能越位行為 并進行了報毒攔截
推廣彈窗(1)
火絨稱騰訊qq存在功能越位行為 并進行了報毒攔截
推廣彈窗(2)
據火絨安全團隊分析,當用戶電腦啟動QQ后,會通過名為 “QQ安全防護進程(Q盾)”的保護程序釋放病毒“TrojanDownloader/Popeng.a”,隨后用戶就會收到騰訊的推廣彈窗。一旦用戶點擊,上述軟件就會立刻被安裝到用戶電腦。該程序具有很強的隱蔽性,在整個推廣過程中,“TrojanDownloader/Popeng.a”會檢測用戶電腦中是否安裝了 “360安全衛士”,若檢測到,推廣行為就會終止。此外,“TrojanDownloader/Popeng.a”還能隨時接受遠程“云控”指令,決定推廣軟件內容,以及是否繼續實施推廣。
據“火絨威脅情報系統”監測,該推廣行為從今年11月末就已開始,并在持續加大推廣力度。
本著對用戶負責的宗旨,“火絨安全軟件”針對病毒及靜默安裝的程序進行攔截報毒,不會刪除用戶下載的原始程序,請廣大用戶放心。
如上兩幅圖,分別為QQ推廣的兩個不同版本彈窗,第二組推廣程序疑似為第一組程序的升級版。推廣程序升級之后,不光界面進行了更改,推廣行為的隱蔽性也有所加強。在推廣軟件上,第一組推廣程序僅用來推廣QQ瀏覽器,而第二組主要推廣電腦管家,同時我們也在第二組程序資源中發現了QQ瀏覽器相關的推廣資源(見圖(2)紅框部分)。第二組程序推廣行為,如下圖所示:
火絨稱騰訊qq存在功能越位行為 并進行了報毒攔截
推廣行為
進程樹如下圖所示:
火絨稱騰訊qq存在功能越位行為 并進行了報毒攔截
推廣程序進程樹
上述推廣行為是由QQProtect.exe程序觸發,雖然該程序的文件描述為“QQ安全防護進程(Q盾)”,但是卻后臺進行彈窗推廣。文件屬性,如下圖所示:
火絨稱騰訊qq存在功能越位行為 并進行了報毒攔截
營業執照公示信息