- 论坛徽章:
- 0
|
|
不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建\"~DTLog.txt\"文件,里面包含一些3721等不太干净的字符串,到底是为什么,技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.(以下文段来自匿名网友与yahootw网友):\r\nQQ最近释放的一个文件QQPhoneHelper.dll,名字很好听\r\n不过里面就有一些字符串,用了一个比较复杂的类来加密\r\n看了下,把它们解密了\r\n大家来看看是都是些什么见不得人的东西:\r\n\r\n\r\n\r\n{B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll 雅虎助手\r\n\r\n{D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll 雅虎助手\r\n\r\nSOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks\r\n\r\n//./CnsMinKP 雅虎助手\r\n\r\n{406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll 雅虎助手\r\n\r\nSOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects\r\n\r\nSOFTWARE/Microsoft/Internet Explorer/Toolbar\r\n\r\n{02496EBD-8455-48db-B3C7-5DAC97D9F5A7} BDSrHook.dll 百度超级搜霸\r\n\r\n//./adsrsvc 百度超级搜霸\r\n\r\n//./BDGuard 百度超级搜霸\r\n\r\n\r\n{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll CNNIC中文上网\r\n\r\n//./cdnprot CNNIC中文上网\r\n\r\n//./cdntran CNNIC中文上网\r\n\r\nSOFTWARE/CNNIC/CdnClient\r\n\r\n{2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜\r\n\r\n//./fad 划词搜索\r\n\r\n//./anfad 划词搜索\r\n\r\nUindata\r\n\r\nhttp://scdown.qq.com/download/HelperUpdate.htm 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异\r\n\r\nURLDownloadToFileA\r\nDeleteUrlCacheEntryA\r\n流氓专用函数\r\n\r\n\r\n\r\n--------------------------------------------------------------------------------\r\nyahootw网友的报告:\r\n\r\n今天没事用AVG Anti-Spyware 扫了下 突然惊现一个警报 ! 一个木马 汗 多少年了 没中过木马了 (心情激动十万分~bs自己一下~~~呵呵)!\r\n\r\n---------------------------------------------------------\r\nAVG Anti-Spyware - Scan Report\r\n---------------------------------------------------------\r\n\r\n+ Created at: 00:28:25 2006-12-15\r\n\r\n+ Scan result: \r\n\r\n\r\n\r\n[688] D:\\Tencent\\qq\\QQPhoneHelper.dll -> Logger.BZub.cv : Cleaned with backup (quarantined).\r\n\r\n\r\n::Report end\r\n\r\nQQPhoneHelper.dll这个东东 到底是不是毒呢?还是杀软误报??搞不懂..呵呵 求高人指点一下!!\r\n\r\n分析一下 ~~\r\n安装qq2006之后,会出现如下的情况:\r\n\r\n其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件?这个文件,在QQ退出后,也不会自动删除。\r\n这个临时文件的名字是:~DFD.tmp (或者是随机生成~DF*.tmp)\r\n\r\n其内容用Ultraedit查看是:\r\n[QQHelper]\r\nversion=1.0.0.26\r\nurl=http://scdown.qq.com/download/QQPhoneHelper.dll\r\nsetupfile=QQPhoneHelper.dll\r\n\r\n把QQPhoneHelper.dll这个文件改名或删除,在启动QQ后,这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 !!!\r\n\r\n而对于这个dll,会在c盘根目录创建\"~DTLog.txt\"文件\r\n\r\n查看跟踪了读入读出请求\r\n9576 01:02:23 QQ.exe:1484 OPEN D:\\Tencent\\qq\\QQPhoneHelper.dll SUCCESS Options: Open Access: Execute\r\n29577 01:02:23 QQ.exe:1484 CLOSE D:\\Tencent\\qq\\QQPhoneHelper.dll SUCCESS\r\n29578 01:02:23 QQ.exe:1484 OPEN C:\\~DTLog.txt SUCCESS Options: OpenIf Access: All\r\n29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\\~DTLog.txt SUCCESS Length: 0\r\n29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\\~DTLog.txt SUCCESS Length: 0\r\n29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\\~DTLog.txt SUCCESS Length: 0\r\n29582 01:02:23 QQ.exe:1484 WRITE C:\\~DTLog.txt SUCCESS Offset: 0 Length: 30\r\n29583 01:02:23 QQ.exe:1484 CLOSE C:\\~DTLog.txt SUCCESS\r\n\r\n用卡巴,诺顿,AVK等等也是报! |
|
免费注册
发表于 2007-05-22 16:41
