您的位置:首页网络冲浪安全资讯 → QQ表情暗藏病毒的真相

QQ表情暗藏病毒的真相

时间:2009/9/3 17:46:00来源:本站整理作者:我要评论(2)

QQ表情暗藏病毒的真相

最近有人却利用人们对QQ表情的喜爱,将其变成了一种恶性病毒。其中一款名叫多多QQ表情病毒的骚 扰。笔者随即对这款工具软件进行调查,发现了其背后还暗藏着惊人秘密。

  真相:公开捆绑传播,被指暗藏病毒

  在百度上搜索“QQ表情”,找到相关网页约1,660,000篇,搜索“多多QQ表情”,找到相关网页约660,000篇,通过这简单的计算,多多QQ表情拥有QQ表情市场近40%的市场占有率。那么这款有着惊人市场占有率的软件到底是一款什么样的软件呢?

  根据其官方介绍,多多QQ表情是一款专门为腾讯QQ用户打造的免费软件,提供超炫QQ表情,点击就能导入QQ表情中,导入完毕就能在QQ聊天时使用,丰富您的对话。同时QQ表情还向软件作者和站长开出了价码,称将按0.05元一个的价格与软件捆绑,且特别声明,在安装成功后在添加删除程序中可以看到“多多QQ表情”选项,可自由卸载。

  真相到底是怎样呢?在百度里,笔者发现得更多的却是和求助电话里类似的内容。见图1:

 

 


  图1

  同时,笔者向一位做安全的朋友求助,他称,多多QQ表情虽然只有47K,而且表面上可挟载,但它确捆绑了另一个叫Update的病毒。而这已经大大超出了之前大家所定义的流氓软件的范畴,因为,在诺顿和瑞星里,大家已经将UPDATE定义成了病毒。

  诺顿对QQ表情主程序的认定:

 

瑞星对QQ表情的认定: 

  超级兔子对多多QQ表情的认定: 

  对UPDATE的分析 

  显性动作 
  [SetHomePage] Url=http://www.9991.com/ 
  [PopupIE] Url=http://www.chanet.com.cn/click.cgi?a=6606&d=3086&u= 
  [PopupIE] Url=http://www.b2b2.net/51gg/index.html 
  [PopupIE] Url=http://www.7MP3.com 
  [PopupIE] Url=http://www.600001.com/ 
  [PopupIE] Url=http://www.600005.com/ 

  隐性动作 
  [Actions]访问 Url=http://file.qqhelper.com/up/update.dat 
  [Update]升级 Url=http://www.yulexingkong.com/mop/uninstalldrv.exe 
  [Update] Url=http://www.ha0l23.com/softbaby/uninstalltmp.exe 
  [Update] Url=http://tongji.qqhelper.com/tj/tj?setupid=$(setupid)&mac=$(computerid)&type=$(sendflag)&version=$(version)&exeversion=$(exeversion)&setupdate=$(setupdate) 

  在机器生成以下目录以及文件: 
  C:\Program Files\Common Files\UPDATE 
  update.dat 
  update.exe 
  以上动作都是update.exe干的 

  另外生成一个目录以及文件: 
  C:\Program Files\Common Files\SAND 
  updatesr.ini 
  svr.dat 
  qqfacerclient.exe 
  twunk_8.exe 
  还没有看到具体动作,有潜伏期。

 

背后:商业动机 弹出全球百强网站

  多多QQ表情敢于挑战法律,公开捆绑恶性病毒,目的何在呢?笔者随后又对其展开了进一步的调查。首先,笔者打开了其弹出的第一个网站9991的链接,吃惊的发现,这家成立于2005年10月第二个星期的网站,在ALEXA里的排名居然已经上升到了全球前100名。如果按照其REACH值1万来推算,其流量已经达到了新浪的七分之一。

  那么这家网站又是通过什么手段如何神奇般在3个月之内的由0做到全球100名呢?那就是前面被诺顿和瑞星认定的多多QQ表情携带的UPADATE病毒。同时,笔者打开多多QQ表情指向的其他相关网站,同样发现了这个这恶性病毒所带来的巨额流量使这些网站在短期间内搭上了超级火箭。

  ALEXA发展趋势:

 

 


 

 

 


 

 

 




  谁是幕后黑手?

  在百度里,笔者输入“9991”显示的第一条结果是\"9991实用生活网-网址大全-分类信息-实用查询\",而对应的链接是www.woyaoshang.com(我要上),而不是www.9991.com,进去一看,内容和9991一样,相关的联系方式和9991也是一模一样,可以断定,他们是同一个人所为。

  在DONEWS一篇BLOG暴料:“现在网站打着"9991.com是绿色安全网站,多家媒体宣传、推荐,点此查看",看来流氓改良了,不从事流氓事业了,关键是以前被你流氓的用户怎么摆脱痛苦!!!!www.woyaoshang.com又是谁注册的呢?自己没有到域名注册商那去搜索,而是直接到了www.alexa.com 去查,查询到的邮箱是whocool@163.com,,再回到baidu搜索这个信箱,原形就出来了!邮箱无一例外都指向了同一个人-――大名鼎鼎的庞升东。” 

相关阅读 微信QQ广告怎么关闭 QQ微信广告关闭官方网址入口QQ个人轨迹查询地址 QQ个人轨迹查看方法介绍QQ个人轨迹在哪里查看 QQ个人轨迹怎么查看qq飞车手游极地龙龟多少钱qq飞车手游小竹鼠怎么样QQ飞车手游B车光芒怎么获得 永久B车光芒获得技巧QQ飞车手游青影渡情礼盒获取攻略 青影渡情礼盒奖励物品一览qq飞车手游白熊和逆天鹰哪个好

文章评论
发表评论

热门文章 设置高强度密码技巧之

最新文章 360连回家是什么 360wifi密码怎么设置才不 电信级的RSA加密后的密码的破解方法范海辛的惊奇之旅分辨率修改方法eset nod32 最新用户名和密码 eset nod32 最关于近期PC6遭受DDOS攻击声明

人气排行 盗号者的常用盗号方法最新瑞星升级助手v7.1.5及防杀方法wifi密码怎么设置才不会被破解?wifi防蹭网网站Tags标签对网站关键词排名的意义eset nod32 最新用户名和密码 eset nod32 最网站导航栏设计趋势目前最新的计算机病毒有哪些如何彻底删除QQ医生