最新消息:加入500人QQ群:87696847→ 进入畅聊网→ IT工厂

注意啦!QQ群共享出现名叫女神沐浴照实为蠕虫病毒

软件应用 爱分享 6246浏览 0评论

近期,不少网友发现QQ群共享出现名为“女神沐浴照(真情版).rar”的文件。据360互联网安全中心检测,这其实是由QQ群蠕虫自动发布的病毒传播地址,网友们对此应提高警惕。

该蠕虫利用“90后女神视频”诱导下载,并欺骗用户关闭360安全卫士,“否则无法观看”。而一旦有网民中招,不光自己电脑遭殃,被安装大量流氓推广软件,蠕虫还会把病毒链接上传到受害者所有的QQ群共享内,使蠕虫大面积流行扩散。用户如果正常开启360安全软件防护,可以拦截并查杀此类QQ群蠕虫。

QQ群蠕虫分析

传播源:http://tdzxian.com/

1

当用户点击下载后,会在地址:http://2014518.b.xundisk.net/处下载一个名称为:美女资源共享室-【必看说明】.rar的压缩包

2

解压后:

3

其中有两个可执行文件,一个是七喜视频社区的推广包,该类推广包可以为蠕虫作者带来每单0.6元的收益:

4

另外一个“破解补丁”,实际是软件流氓推广下载者,在该解压包中有一份txt的说明文档,诱导用户安装注册girlshow客户端。此外,由于“破解补丁.exe”会被360拦截,这份说明文档还诱导用户选择放行。

5

破解补丁.exe分析

即从2014518.b.xundisk.net下载Server.exe以及7007.exe,以及一个名称为“女神沐浴照(真情版)”的压缩包,保存到本地C盘根目录下并启动执行。

6

7007.exe分析

7007.exe是具有传播性的QQ群蠕虫,它会做两件事,第一是将“女神沐浴照(真情版).rar”上传到受害者所有的QQ群共享;第二是在受害者的QQ空间里发表一条说说,其目的同样是传播蠕虫病毒。

7

8

蠕虫上传文件到QQ群共享的实现过程如下:

1、访问:http://xui.ptlogin2.qq.com/cgi-bin/qlogin,成功后获取Cookie。

360安全卫士可以将其拦截:

9

2、从Cookie中提取Skey参数

3、从Skey中按照如下算法得到g_tk参数

INT Hash = 5381;

for (INT i=0;i<Skey.GetLength();i++)

{

Hash += (Hash<<5)+(INT)Skey.GetAt(i);

}

DWORD g_tk = Hash&0x7FFFFFFF;

4、访问:http://qun.qzone.qq.com/cgi-bin/get_group_list?,获取群列表

5、访问:http://qun.qzone.qq.com/cgi-bin/group_share_list?uin=,获取群里共享的文件列表。

6、访问:http://qun.qzone.qq.com/cgi-bin/group_share_upload?g_tk=,

开始上传文件到群空间,这一步360同样也会拦截:

10

7、上传成功后,还要回传信息到病毒作者的服务器。回传部分数据如下:

回传地址为http://113.142.13.69:8080/ftn_handler/?ver=12345&ukey=

这一步操作同样会被360拦截:

11

蠕虫上传到群共享的rar解压后,有用的文件只有一个:

12

用户打开这个URL快捷方式后,会打开“90后女神”视频下载的蠕虫病毒传播源。

蠕虫发送说说到空间的过程与上传QQ群共享比较类似,只是最后访问的接口不一样,说说接口为:taotao.qq.com/cgi-bin/ emotion_cgi_publish_shuoshuo_v6??g_tk=

接下来去看看在Q说说上发表的说说中提到的百度云盘上存储的文件http://pan.baidu.com/s/1c0d3KWS

13

解压后如下:

14

空间装扮这个EXE功能

15

唯一的功能是从http://2014518.b.xundisk.net下载1000.exe到本地执行

16

1000.exe的功能

类似于一个软件安装器,下载大量的推广软件到用户的机器中

17

转载请注明:爱分享 » 注意啦!QQ群共享出现名叫女神沐浴照实为蠕虫病毒
原文地址:http://www.ihref.com/read-14854.html

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址