首页
社区
课程
招聘
[转帖]freebuf转帖:你从哪里来?从弹窗广告发现腾讯全家桶的秘密
发表于: 2017-3-29 15:29 3559

[转帖]freebuf转帖:你从哪里来?从弹窗广告发现腾讯全家桶的秘密

2017-3-29 15:29
3559

以前听说过各种“全家桶”,但本来以为只有小白才会中招,没想到自己作为曾经混过安全圈的“业内人士”竟然也失陷了!真是防不胜防。

先说下过程,有些现象当时没有截图,只有事后分析尽量还原出来。首先是电脑突然弹了个窗,提示清理垃圾之类的,如下图:

误以为是另一个软件弹的,随手点了立即清理,本来正在追射雕桐妹子的,突然电脑就卡顿了几下,然后出现了这样的一个窗口……

好吧,竟然是腾讯电脑管家,我又不要给qq等级加速,装这玩意干吗……立刻醒悟过来,刚才的弹窗看来就是诱导安装电脑管家的!那么问题又来了,这窗是谁弹的?

因为弹窗并不是一直存在,所以卸了电脑管家,琢磨着它应该不会善罢甘休。经过“日夜蹲守”的不懈努力下,终于定位到了弹窗的程序——%TEMP%目录下的一个名为“QXMatrixTools4524.exe”的程序:

果然是腾讯的签名,现在回想起来——应该是那段时间安装QQ游戏的时候带上的吧:

查看了下QXMatrixTools的程序的内部资源,找到了几个压缩包,解压之后发现原来给我预备的弹窗样式还不少……


这么多的弹窗款式——总有一款能骗到你。进一步分析,果然是只要点击了清理按钮,就会从服务器下载一个电脑管家直接装上:

但是整个下载和安装的过程完全是在后台执行的,而且也找不到卸载项,纯属无提示安装、无安装界面、无卸载项、无节操的四无产品……

继续追下去,这个QXMatrixTools又是另一个服务启动的——QQMicroGameBoxService.exe,而这个服务名称是“腾讯网页游戏微端服务”:

在这个目录底下,又看到了一个很“亲切”的文件名——QXMatrix.dll……用反编译工具随手看了看QQMicroGameBoxService的内容,果然会去加载QXMatrix.dll

QXMatrix.dll释放的两个驱动(应该是对应x64x86两版本)还会恢复“QQ音乐加速”、“QQLiveService”和“QQMicroGameBoxService”三个服务,用来给这三个服务保驾护航,防止被其他软件禁用掉。谁能想到在表面风平浪静之下,系统底层竟然被流氓搞得硝烟四起:

QXMatrixTools这个关键词到网上搜了一下,原来这事情在知乎上早就曝光过,标题是“关于腾讯旗下产品经由QXMatrixTools开启的后门问题?”,去年9月就有人发现了,还有人分享了清理这个服务的方法:

之所以要分享清理方案,是因为——这个东西根本没有卸载项(为了看的清楚,专程到虚拟机里又装了一遍QQ游戏大厅):

事情到此算是大体上捋清楚了,大致总结如下:

1.  我装了个QQ游戏大厅

2.  QQ游戏大厅给我带了个QQMicroGameBoxService的服务

3.  这个服务会加载QXMatrix.dll的动态库,释放驱动不断修复腾讯的服务,还时不时的给我的临时目录底下塞一个QXMatrixTools的小工具

4.  小工具会弹出个窗口来“温馨提示”——您的电脑该清理了

5.  一旦点了清理,会“贴心”的下载回来一个电脑管家为我服务……

6.  这一套组合拳不仅套路深,最后竟然还不提供卸载!

现在知道“全家桶”都是怎么来的了吧!

最后——感谢QQ自带的截图功能对本文撰写提供的帮助和支持。



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (4)
雪    币: 878
活跃值: (496)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
国内厂商到处是流氓软件
2017-3-29 16:23
0
雪    币: 3053
活跃值: (891)
能力值: ( LV13,RANK:1300 )
在线值:
发帖
回帖
粉丝
3
感谢楼主,对全家桶有了更深刻的认识。
2017-3-29 16:52
0
雪    币: 2
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
能告诉下这些代码是怎么反编译出来的?谢谢了。
2017-4-5 11:09
0
雪    币: 4
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
最后一句是神来之笔……    哈哈
2017-5-23 17:34
0
游客
登录 | 注册 方可回帖
返回
//