微点交流论坛 - 灌水区 - 多多QQ表情病毒奥秘

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 灌水区 » 多多QQ表情病毒奥秘

囚中城
版主

微点茶室甜点师

积分 3808
发帖 3688
注册 2006-1-3
来自拿灵魂换生命的地方

#1 多多QQ表情病毒奥秘

QQ表情本来是广受用户欢迎的一个实用工具，然而,最近有人却利用人们对QQ表情的喜爱，将其变成了一种恶性病毒。最近，笔者不断接到求助电话，受到一款名叫多多QQ表情病毒的骚扰。笔者随即对这款工具软件进行调查，发现了其背后还暗藏着惊人秘密。

真相：公开捆绑传播，被指暗藏病毒

在百度上搜索“QQ表情”，找到相关网页约1,660,000篇，搜索“多多QQ表情”，找到相关网页约660,000篇，通过这简单的计算，多多QQ表情拥有QQ表情市场近40%的市场占有率。那么这款有着惊人市场占有率的软件到底是一款什么样的软件呢？

根据其官方介绍，多多QQ表情是一款专门为腾讯QQ用户打造的免费软件，提供超炫QQ表情，点击就能导入QQ表情中，导入完毕就能在QQ聊天时使用，丰富您的对话。同时QQ表情还向软件作者和站长开出了价码，称将按0.05元一个的价格与软件捆绑，且特别声明，在安装成功后在添加删除程序中可以看到“多多QQ表情”选项,可自由卸载。

真相到底是怎样呢？在百度里,笔者发现得更多的却是和求助电话里类似的内容。

同时，笔者向一位做安全的朋友求助，他称，多多QQ表情虽然只有47K，而且表面上可挟载，但它确捆绑了另一个叫Update的病毒。而这已经大大超出了之前大家所定义的流氓软件的范畴，因为，在诺顿和瑞星里，大家已经将UPDATE定义成了病毒。

对UPDATE的分析

显性动作

[SetHomePage] Url=www.9991.com/

[PopupIE] Url=www.chanet.com.cn/click.cgi?a=6606&d=3086&u=

[PopupIE] Url=www.b2b2.net/51gg/index.html

[PopupIE] Url=www.7mp3.com

[PopupIE] Url=www.600001.com/

[PopupIE] Url=www.600005.com/

隐性动作

[Actions]访问 Url=file.qqhelper.com/up/update.dat

[Update]升级 Url=www.yulexingkong.com/mop/uninstalldrv.exe

[Update] Url=www.ha0l23.com/softbaby/uninstalltmp.exe

[Update] Url=tongji.qqhelper.com/tj/tj?setupid=$(setupid)&mac=$

(computerid)&type=$(sendflag)&version=$(version)&exeversion=$

(exeversion)&setupdate=$(setupdate)

在机器生成以下目录以及文件:

C

rogram FilesCommon FilesUPDATE

update.dat

update.exe

以上动作都是update.exe干的

另外生成一个目录以及文件:

C

rogram FilesCommon FilesSAND

updatesr.ini

svr.dat

qqfacerclient.exe

twunk_8.exe

还没有看到具体动作，有潜伏期。

背后：商业动机弹出全球百强网站

多多QQ表情敢于挑战法律，公开捆绑恶性病毒，目的何在呢？笔者随后又对其展开了进一步的调查。首先，笔者打开了其弹出的第一个网站9991的链接，吃惊的发现，这家成立于2005年10月第二个星期的网站，在ALEXA里的排名居然已经上升到了全球前100名。如果按照其REACH值1万来推算，其流量已经达到了新浪的七分之一。

那么这家网站又是通过什么手段如何神奇般在3 个月之内的由0做到全球100名呢?那就是前面被诺顿和瑞星认定的多多QQ表情携带的UPADATE病毒。同时，笔者打开多多QQ表情指向的其他相关网站，同样发现了这个这恶性病毒所带来的巨额流量使这些网站在短期间内搭上了超级火箭。

谁是幕后黑手?

在百度里,笔者输入“9991”显示的第一条结果是“9991实用生活网-网址大全-分类信息-实用查询”，而对应的链接是 www.woyaoshang.com(我要上)，而不是www.9991.com，进去一看,内容和9991一样，相关的联系方式和9991也是一模一样，可以断定，他们是同一个人所为。

在DONEWS一篇BLOG暴料:“现在网站打着‘9991.com是绿色安全网站，多家媒体宣传、推荐，点此查看’，看来流氓改良了，不从事流氓事业了，关键是以前被你流氓的用户怎么摆脱痛苦！！！ www.woyaoshang.com又是谁注册的呢？自己没有到域名注册商那去搜索，而是直接到了www.alexa.com 去查，查询到的邮箱是whocool@163.com，再回到baidu搜索这个信箱，原形就出来了！邮箱无一例外都指向了同一个人-——大名鼎鼎的庞升东。”

看来，表面的众多证据，都指向庞升东。但是，幕后到底又有怎样的实情？

※ ※ ※ 本文纯属【囚中城】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-6-16 11:36

淘宝数码
新手上路

积分 3
发帖 3
注册 2006-6-7

#2

现实中的法律需要完善的都太多，何况是网络，唉，期待社会的文明与进步
！！

※ ※ ※ 本文纯属【淘宝数码】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-6-16 20:33

htn124
新手上路

积分 6
发帖 6
注册 2006-6-16

#3

又是一个流氓软件～真是怕了现在

※ ※ ※ 本文纯属【htn124】个人意见，与【微点交流论坛】立场无关※ ※ ※

2006-6-16 22:11

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

#4

9991实用生活网-网址大全-分类信息-实用查询

这个我经常上的～

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2006-6-29 14:33

zqrsc
版主

反病毒区版主

积分 1133
发帖 1118
注册 2005-11-22
来自 .net

#5

那你就给流氓了。。楼上。
呵呵。
昨天刚手动处理一例。你可以检查下自己的机器。
当时是费尔发现莫名注册表写操作。修复失败（样本已发送费尔）结果无意中发现的
那个9991.com 有劫持浏览器的嫌疑。

※ ※ ※ 本文纯属【zqrsc】个人意见，与【微点交流论坛】立场无关※ ※ ※

偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~

2006-6-30 08:40

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

Quote:

Originally posted by zqrsc at 2006-6-30 08:40:
那你就给流氓了。。楼上。
呵呵。
昨天刚手动处理一例。你可以检查下自己的机器。
当时是费尔发现莫名注册表写操作。修复失败（样本已发送费尔）结果无意中发现的
那个9991.com 有劫持浏览器的嫌疑。

不会吧

电脑没事啊没有劫持浏览器

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2006-6-30 10:32

反黑先锋
版主

RUNWAY

积分 2901
发帖 2857
注册 2006-6-17

Quote:

Originally posted by 囚中城 at 2006-6-16 11:36:
QQ表情本来是广受用户欢迎的一个实用工具，然而,最近有人却利用人们对QQ表情的喜爱，将其变成了一种恶性病毒。最近，笔者不断接到求助电话，受到一款名叫多多QQ表情病毒的骚扰。笔者随即对这款工具软件进行调查， ...

QQ表情好多人喜欢装这个的幸好我有微点哈哈

※ ※ ※ 本文纯属【反黑先锋】个人意见，与【微点交流论坛】立场无关※ ※ ※

荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔

2006-7-6 17:28

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号