計世網(wǎng)消息 (特約作者 東方) QQ表情本來是廣受用戶歡迎的一個實用工具,然而,最近有人卻利用人們對QQ表情的喜愛,將其變成了一種惡性病毒。最近,筆者不斷接到求助電話,受到一款名叫多多QQ表情病毒的騷擾。筆者隨即對這款工具軟件進行調(diào)查,發(fā)現(xiàn)了其背后還暗藏著驚人秘密。
真相:公開捆綁傳播,被指暗藏病毒
在百度上搜索“QQ表情”,找到相關網(wǎng)頁約1,660,000篇,搜索“多多QQ表情”,找到相關網(wǎng)頁約660,000篇,通過這簡單的計算,多多QQ表情擁有QQ表情市場近40%的市場占有率。那么這款有著驚人市場占有率的軟件到底是一款什么樣的軟件呢?
根據(jù)其官方介紹,多多QQ表情是一款專門為騰訊QQ用戶打造的免費軟件,提供超炫QQ表情,點擊就能導入QQ表情中,導入完畢就能在QQ聊天時使用,豐富您的對話。同時QQ表情還向軟件作者和站長開出了價碼,稱將按0.05元一個的價格與軟件捆綁,且特別聲明,在安裝成功后在添加刪除程序中可以看到“多多QQ表情”選項,可自由卸載。
真相到底是怎樣呢?在百度里,筆者發(fā)現(xiàn)得更多的卻是和求助電話里類似的內(nèi)容。
同時,筆者向一位做安全的朋友求助,他稱,多多QQ表情雖然只有47K,而且表面上可挾載,但它確捆綁了另一個叫Update的病毒。而這已經(jīng)大大超出了之前大家所定義的流氓軟件的范疇,因為,在諾頓和瑞星里,大家已經(jīng)將UPDATE定義成了病毒。
對UPDATE的分析
顯性動作
[SetHomePage] Url=www.9991.com/
[PopupIE] Url=www.chanet.com.cn/click.cgi?a=6606&d=3086&u=
[PopupIE] Url=www.b2b2.net/51gg/index.html
[PopupIE] Url=www.7mp3.com
[PopupIE] Url=www.600001.com/
[PopupIE] Url=www.600005.com/
隱性動作
[Actions]訪問 Url=file.qqhelper.com/up/update.dat
[Update]升級 Url=www.yulexingkong.com/mop/uninstalldrv.exe
[Update] Url=www.ha0l23.com/softbaby/uninstalltmp.exe
[Update] Url=#qqhelper.com/tj/tj?setupid=$(setupid)&mac=$(computerid)&type=$(sendflag)&version=$(version)&exeversion=$(exeversion)&setupdate=$(setupdate)
在機器生成以下目錄以及文件:
C:\Program Files\Common Files\UPDATE
update.dat
update.exe
以上動作都是update.exe干的
另外生成一個目錄以及文件:
C:\Program Files\Common Files\SAND
updatesr.ini
svr.dat
qqfacerclient.exe
twunk_8.exe
還沒有看到具體動作,有潛伏期。
背后:商業(yè)動機 彈出全球百強網(wǎng)站
多多QQ表情敢于挑戰(zhàn)法律,公開捆綁惡性病毒,目的何在呢?筆者隨后又對其展開了進一步的調(diào)查。首先,筆者打開了其彈出的第一個網(wǎng)站9991的鏈接,吃驚的發(fā)現(xiàn),這家成立于2005年10月第二個星期的網(wǎng)站,在ALEXA里的排名居然已經(jīng)上升到了全球前100名。如果按照其REACH值1萬來推算,其流量已經(jīng)達到了新浪的七分之一。
那么這家網(wǎng)站又是通過什么手段如何神奇般在3個月之內(nèi)的由0做到全球100名呢?那就是前面被諾頓和瑞星認定的多多QQ表情攜帶的UPADATE病毒。同時,筆者打開多多QQ表情指向的其他相關網(wǎng)站,同樣發(fā)現(xiàn)了這個這惡性病毒所帶來的巨額流量使這些網(wǎng)站在短期間內(nèi)搭上了超級火箭。
誰是幕后黑手?
在www.woyaoshang.com(我要上),而不是www.9991.com,進去一看,內(nèi)容和9991一樣,相關的聯(lián)系方式和9991也是一模一樣,可以斷定,他們是同一個人所為。
在DONEWS一篇BLOG暴料:“現(xiàn)在網(wǎng)站打著"9991.com是綠色安全網(wǎng)站,多家媒體宣傳、推薦,點此查看",看來流氓改良了,不從事流氓事業(yè)了,關鍵是以前被你流氓的用戶怎么擺脫痛苦。!!www.woyaoshang.com又是誰注冊的呢?自己沒有到域名注冊商那去搜索,而是直接到了www.alexa.com 去查,查詢到的郵箱是whocool@163.com,,再回到baidu搜索這個信箱,原形就出來了!郵箱無一例外都指向了同一個人-——大名鼎鼎的龐升東!
看來,表面的眾多證據(jù),都指向龐升東。但是,幕后到底又有怎樣的實情?計世網(wǎng)將繼續(xù)跟蹤報道。
關于騰牛 | 聯(lián)系方式 | 發(fā)展歷程 | 版權聲明 | 下載幫助(?) | 廣告聯(lián)系 | 網(wǎng)站地圖 | 友情鏈接
Copyright 2005-2018 QQTN.com 【騰牛網(wǎng)】 版權所有 鄂ICP備17010784號-1 | 鄂公網(wǎng)安備 42011102000245號
聲明: 本站非騰訊QQ官方網(wǎng)站 所有軟件和文章來自互聯(lián)網(wǎng) 如有異議 請與本站聯(lián)系 本站為非贏利性網(wǎng)站 不接受任何贊助和廣告