髙淸视频 窷迗室(耒懑⑩ハ岁 僸芷观看!)你看了没?-2012QQ群共享尾巴来啦


QQ群已经成为一种常用交流工具。各种不同爱好和行业的人群聚集在QQ群里,交流非常方便

最近毒霸安全公司接到大量用户反馈,QQ自动在群里上传黄色信息,不管公司同事群、同学群都会上传,相当的尴尬。

毒霸工程师远程查看:发现QQ群共享里多了好多这样的文件
‘荿’人^ 视频~倮窷(‘带^騒’女‘窷’兲)‘

psb.jpg


毒霸安全工程师分析得出,该软件利用普通大众好奇心理进行病毒式传播下载类软件,会自动在QQ群里面上传黄色信息

毒霸安全工程师提醒:下载群共享文件请打开金山毒霸杀毒软件,并更新最新的病毒库,遇到特别标题等情况请保持警惕,询问上传者是否确实为他所传播,并询问其他群友是否有人试过,确认安全后方可下载,以免造成造成不必要的尴尬,和财产损失

下面请看毒霸美女分析师的分析:


母体:51gaoqing_3.5.exe

MD5 :EB42D90E930C4EF7A80CE7F68A94A4CE1

51gaoqing_3.5.exe读取本身包含一个DLL文件,申请空间,初始化DLL并跑DLL入口点,执行一下行为


  1. 1 创建C:\Program Files\51gaoqingInstaller文件夹,并他压 缩包文件拷贝到此文件夹。
  2. 2 文件51gaoqing_361.xml重命名51gaoqing_361.exe
  3. 文件uifocn..xml重命名uifocn..exe
  4. 文件pipi_dae_221.xml重名为pipi_dae_221.exe
  5. 3 创建进程启动51gaoqing_361.exe。
  6. 文件pipi_dae_221.xml重命名pipi_dae_221.exe
  7. 4 创建文件51gaoqing_Installer.exe
  8. 5 创建进程51gaoqing_Installer.exe。
复制代码

2  51gaoqing_361进程把在Temp目录创建51gaoqing_361.temp文件,并以这个文件创建进程。
3  51gaoqing_Installer.exe进程启动 uifocn.exe
   51gaoqing_Installer.exe进程启动 pipi_dae_221.exe
4 pipi_dae_221.exe进程创建文件pipi_dae_221.tmp文件并以命令行
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-OC9IV.tmp\pipi_setup_221.tmp"/SL5="$402C8,6197983,72192,C:\ProgramFiles\51gaoqingInstaller\pipi_setup_221.exe" /verysilent启动该程序 ,实际为静默安装PIPI播放器。
5 uifocn.exe  通往HTTP模拟QQ网页快速登录操作得到
髙淸视频 窷迗室(耒懑⑩ハ岁 僸芷观看!)你看了没?-2012QQ群共享尾巴来啦_第1张图片


转到QQ快读登录页面

髙淸视频 窷迗室(耒懑⑩ハ岁 僸芷观看!)你看了没?-2012QQ群共享尾巴来啦_第2张图片

向木马服务端www*72kc*com/001.htm发送请求。

髙淸视频 窷迗室(耒懑⑩ハ岁 僸芷观看!)你看了没?-2012QQ群共享尾巴来啦_第3张图片

得到一个加密的字符串

髙淸视频 窷迗室(耒懑⑩ハ岁 僸芷观看!)你看了没?-2012QQ群共享尾巴来啦_第4张图片

进行解密得到上传到文件参数

髙淸视频 窷迗室(耒懑⑩ハ岁 僸芷观看!)你看了没?-2012QQ群共享尾巴来啦_第5张图片

上传文件的附加参数

髙淸视频 窷迗室(耒懑⑩ハ岁 僸芷观看!)你看了没?-2012QQ群共享尾巴来啦_第6张图片

髙淸视频 窷迗室(耒懑⑩ハ岁 僸芷观看!)你看了没?-2012QQ群共享尾巴来啦_第7张图片

对ClientKey进行加密后

提交到木马服务端
髙淸视频 窷迗室(耒懑⑩ハ岁 僸芷观看!)你看了没?-2012QQ群共享尾巴来啦_第8张图片

进行网页操作上传群共享

髙淸视频 窷迗室(耒懑⑩ハ岁 僸芷观看!)你看了没?-2012QQ群共享尾巴来啦_第9张图片

通过网页信息截取用户ClientKey并提交到远程木马服务端,有用ClientKey可以在不需要密码的情况进行对此QQ进行操作,当QQ号离线,而木马线程继续存在的情况可继续发送共享文件和发起QQ活动。

髙淸视频 窷迗室(耒懑⑩ハ岁 僸芷观看!)你看了没?-2012QQ群共享尾巴来啦_第10张图片




你可能感兴趣的:(髙淸视频 窷迗室(耒懑⑩ハ岁 僸芷观看!)你看了没?-2012QQ群共享尾巴来啦)