Tag Archives: qq

qq越来越像病毒了

qq推出2004,会自动给用户安装虚拟打印机
qq上次出2005,自动修改用户的输入法,监视用户键盘输入;并增加了一个qqhook.dll
而现在的2006,似乎变本加厉,更加像病毒了
 
安装qq2006之后,会出现如下的症状:
 
其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件?这个文件,在QQ退出后,也不会自动删除。
这个临时文件的名字是:~DFD.tmp (或者是随机生成~DF*.tmp)

其内容用Ultraedit查看是:
[QQHelper]
version=1.0.0.26
url=http://scdown.qq.com/download/QQPhoneHelper.dll
setupfile=QQPhoneHelper.dll

把QQPhoneHelper.dll这个文件改名或删除,在启动QQ后,这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。

 
而对于这个dll,会在c盘根目录创建"~DTLog.txt"文件
跟踪了读入读出请求

9576 17:01:17 QQ.exe:1484 OPEN D:Program FilesTencentQQ2005QQPhoneHelper.dll SUCCESS Options: Open Access: Execute
29577 17:01:17 QQ.exe:1484 CLOSE D:Program FilesTencentQQ2005QQPhoneHelper.dll SUCCESS
29578 17:01:17 QQ.exe:1484 OPEN C:~DTLog.txt SUCCESS Options: OpenIf Access: All
29579 17:01:17 QQ.exe:1484 QUERY INFORMATION C:~DTLog.txt SUCCESS Length: 0
29580 17:01:17 QQ.exe:1484 QUERY INFORMATION C:~DTLog.txt SUCCESS Length: 0
29581 17:01:17 QQ.exe:1484 QUERY INFORMATION C:~DTLog.txt SUCCESS Length: 0
29582 17:01:17 QQ.exe:1484 WRITE C:~DTLog.txt SUCCESS Offset: 0 Length: 30
29583 17:01:17 QQ.exe:1484 CLOSE C:~DTLog.txt SUCCESS

腾讯的动作不是一般的快。。。

在搜友和miniqq出来的一天之内,把它们都干掉了。。再次不能显隐身了。。
根本原因,是搜友和miniqq使用的都是同一条协议,经过简单分析。连接的是219.133.40.209:4701。用的是TCP连接。搜友功能简单,只有3条指令,登录,隐身,返回列表。和miniQQ唯一的差别就是时间戳,MiniQQ是5位,搜友是3位。
而tencent只需要把地址换一下,或者把反编译得到的漏洞补上就可以了。。
现在的想法是,如果想要显隐身。只能是在电脑上模拟wap上网,然后通过wap网关来访问qq。但同样有一个问题,似乎现在tencent对wap上网也作了检测,会检测你使用的是手机还是其他。其他直接跳回页面。。。