QQProtect.exe文件屬性
火絨攔截日志,如下圖所示:
火絨稱騰訊qq存在功能越位行為 并進(jìn)行了報(bào)毒攔截
火絨攔截日志
第一組推廣程序,由QQProtect.exe進(jìn)程觸發(fā),調(diào)用QQUpdPlugin.dll下載遠(yuǎn)程xml推廣數(shù)據(jù),遠(yuǎn)程請(qǐng)求到的xml數(shù)據(jù)可以“云控”推廣內(nèi)容。xml數(shù)據(jù)如下圖所示:
火絨稱騰訊qq存在功能越位行為 并進(jìn)行了報(bào)毒攔截
xml推廣數(shù)據(jù)
獲取到xml數(shù)據(jù)之后,程序會(huì)根據(jù)紅框中所示的downloadfile標(biāo)簽url屬性將最終的推廣彈窗程序下載到” %temp%\dlqltps.exe”目錄中進(jìn)行執(zhí)行,該程序注入explorer后,用explorer進(jìn)程啟動(dòng)vfsti.exe彈出誘導(dǎo)推廣彈窗。行為如下圖所示:
火絨稱騰訊qq存在功能越位行為 并進(jìn)行了報(bào)毒攔截
推廣行為
第二組推廣程序,推廣流程更加復(fù)雜且更為隱蔽。推廣流程還是由QQProtect.exe進(jìn)程觸發(fā),首先會(huì)下載執(zhí)行“MOXD1218.EXE”(簡(jiǎn)稱為MOXD程序),在該程序的資源中包含有一個(gè)可執(zhí)行程序(XFIXER.exe)和兩個(gè)動(dòng)態(tài)庫(kù)(qfaydtc.dll和dzor.dll)。
文件資源,如下圖所示:
火絨稱騰訊qq存在功能越位行為 并進(jìn)行了報(bào)毒攔截
文件資源
代碼如下圖所示:
火絨稱騰訊qq存在功能越位行為 并進(jìn)行了報(bào)毒攔截
資源釋放相關(guān)代碼
XFIXER.exe會(huì)被注冊(cè)成COM接口,MOXD程序調(diào)用COM接口后,會(huì)由svchost進(jìn)程啟動(dòng)資源中包含的可執(zhí)行程序XFIXER.exe。調(diào)用代碼如下圖所示:
火絨稱騰訊qq存在功能越位行為 并進(jìn)行了報(bào)毒攔截
相關(guān)邏輯代碼
在執(zhí)行完COM接口調(diào)用之后,MOXD程序會(huì)嘗試刪除之前注冊(cè)的COM接口注冊(cè)表項(xiàng)和自身文件。代碼如下圖所示:
火絨稱騰訊qq存在功能越位行為 并進(jìn)行了報(bào)毒攔截
相關(guān)邏輯代碼
該程序啟動(dòng)后會(huì)調(diào)用qfaydtc.dll動(dòng)態(tài)庫(kù),解析“云控”xml推廣數(shù)據(jù)后,最終下載執(zhí)行推廣彈窗程序。雖然推廣彈窗程序下載至本地后的文件名近期進(jìn)行過更改(開始為“TESSFE.EXE”后來變?yōu)?ldquo;MODULE11.exe”),但是推廣彈窗程序邏輯未出現(xiàn)變動(dòng)。xml推廣數(shù)據(jù),如下圖所示:
火絨稱騰訊qq存在功能越位行為 并進(jìn)行了報(bào)毒攔截
xml推廣數(shù)據(jù)
如果用戶點(diǎn)擊彈窗中的關(guān)閉按鈕后,MODULE11.exe程序會(huì)被重命名為“.tmp”后綴的文件。如下圖中的9.tmp、A.tmp和B.tmp:
營(yíng)業(yè)執(zhí)照公示信息