qq越来越像病毒了

qq推出2004,会自动给用户安装虚拟打印机
qq上次出2005,自动修改用户的输入法,监视用户键盘输入;并增加了一个qqhook.dll
而现在的2006,似乎变本加厉,更加像病毒了
 
安装qq2006之后,会出现如下的症状:
 
其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件?这个文件,在QQ退出后,也不会自动删除。
这个临时文件的名字是:~DFD.tmp (或者是随机生成~DF*.tmp)

其内容用Ultraedit查看是:
[QQHelper]
version=1.0.0.26
url=http://scdown.qq.com/download/QQPhoneHelper.dll
setupfile=QQPhoneHelper.dll

把QQPhoneHelper.dll这个文件改名或删除,在启动QQ后,这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。

 
而对于这个dll,会在c盘根目录创建"~DTLog.txt"文件
跟踪了读入读出请求

9576 17:01:17 QQ.exe:1484 OPEN D:Program FilesTencentQQ2005QQPhoneHelper.dll SUCCESS Options: Open Access: Execute
29577 17:01:17 QQ.exe:1484 CLOSE D:Program FilesTencentQQ2005QQPhoneHelper.dll SUCCESS
29578 17:01:17 QQ.exe:1484 OPEN C:~DTLog.txt SUCCESS Options: OpenIf Access: All
29579 17:01:17 QQ.exe:1484 QUERY INFORMATION C:~DTLog.txt SUCCESS Length: 0
29580 17:01:17 QQ.exe:1484 QUERY INFORMATION C:~DTLog.txt SUCCESS Length: 0
29581 17:01:17 QQ.exe:1484 QUERY INFORMATION C:~DTLog.txt SUCCESS Length: 0
29582 17:01:17 QQ.exe:1484 WRITE C:~DTLog.txt SUCCESS Offset: 0 Length: 30
29583 17:01:17 QQ.exe:1484 CLOSE C:~DTLog.txt SUCCESS

5 thoughts on “qq越来越像病毒了

  1. 437758359

    9494,老大强人啊!卡巴报它是Trojan-Spy.Win32.BZub.cv病毒,哎~~那么多人用QQ,腾讯TMD胡作非为了,操

    Reply
  2. Hyrut

    我是在用Ethereal搞东西的时候无意中发现了一个类似你的问题。下面我记录下来的症状。
    1。去GET一个htm
    GET http://scdown.qq.com/download/Update.htm HTTP/1.0
    响应是这样的
    [TBHUpdateInfo]
    protocol=1
    version=4.4.1.14
    url=http://scdown.qq.com/download/Setup.exe
    setupfile=Setup.exe
    base=496a65bdc907d69927aa5af07bb32bb9
    general=9ac15c8e87aafa07177746cc682e6b9a
    uf=1
    mi5=e5acd630ed7165a01ca25113187342f4
    mit=7559A177E6

    [URLInfo]
    url=http://scdown.qq.com/keys/hotkey.ini
    [Dll]
    file=ssup.dll
    md5=9e0ce647d7347691b958b7bda64e48f9
    ver=5.0.1.17
    filec=SSLive.cab
    md5c=cf657857f7462875d0e8a6a098e95c6b
    verc=5.0.1.17
    [Install]
    ver=5.0.1.30
    file_i=Install.cab
    md5_i=5c0bb4b31eee925dcac200dfd740b0c2
    file_d=Dll.cab
    md5_d=336547963e22323a0ff9858ef0e433d3

    2。GET一个ini文件
    GET http://scdown.qq.com/download/mi.ini HTTP/1.0
    响应是这样的
    [General]
    mn=0400000004
    mi=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

    好像还有GET其他的htm或者ini文件,我手头没有特别好的工具,所以也分析不出来什么?
    想请教您对这些有没有更多了解,或者是什么其它的信息,如果能共享给我,我将不胜感激。

    Reply

Leave a Reply

Your email address will not be published.