真相:公开捆绑传播,被指暗藏病毒
在百度上搜索“QQ表情”,找到相关网页约1,660,000篇,搜索“多多QQ表情”,找到相关网页约660,000篇,通过这简单的计算,多多QQ表情拥有QQ表情市场近40%的市场占有率。那么这款有着惊人市场占有率的软件到底是一款什么样的软件呢?
根据其官方介绍,多多QQ表情是一款专门为腾讯QQ用户打造的免费软件,提供超炫QQ表情,点击就能导入QQ表情中,导入完毕就能在QQ聊天时使用,丰富您的对话。同时QQ表情还向软件作者和站长开出了价码,称将按0.05元一个的价格与软件捆绑,且特别声明,在安装成功后在添加删除程序中可以看到“多多QQ表情”选项,可自由卸载。
真相到底是怎样呢?在百度里,笔者发现得更多的却是和求助电话里类似的内容。
同时,笔者向一位做安全的朋友求助,他称,多多QQ表情虽然只有47K,而且表面上可卸载,但它确捆绑了另一个叫Update的病毒。而这已经大大超出了之前大家所定义的流氓软件的范畴,因为,在诺顿和瑞星里,大家已经将UPDATE定义成了病毒。
诺顿对QQ表情主程序的认定:
瑞星对QQ表情的认定:
超级兔子对多多QQ表情的认定:
对UPDATE的分析
显性动作
[SetHomePage] Url=http://www.9991.com/
[PopupIE] Url=http://www.chanet.com.cn/click.cgi?a=6606&d=3086&u=
[PopupIE] Url=http://www.b2b2.net/51gg/index.html
[PopupIE] Url=http://www.7MP3.com
[PopupIE] Url=http://www.600001.com/
[PopupIE] Url=http://www.600005.com/
隐性动作
[Actions]访问 Url=http://file.qqhelper.com/up/update.dat
[Update]升级 Url=http://www.yulexingkong.com/mop/uninstalldrv.exe
[Update] Url=http://www.ha0l23.com/softbaby/uninstalltmp.exe
[Update] Url=http://tongji.qqhelper.com/tj/tj?setupid=$(setupid)&
ac=$(computerid)&type=$(sendflag)&version=$(version)&exeversion=$
(exeversion)&setupdate=$(setupdate)
还没有看到具体动作,有潜伏期
在机器生成以下目录以及文件:
C:Program FilesCommon FilesUPDATE
update.dat
update.exe
以上动作都是update.exe干的
另外生成一个目录以及文件:
C:Program FilesCommon FilesSAND
updatesr.ini
svr.dat
qqfacerclient.exe
twunk_8.exe
|
