以前听说过各种“全家桶”,但本来以为只有小白才会中招,没想到自己作为曾经混过安全圈的“业内人士”竟然也失陷了!真是防不胜防。
先说下过程,有些现象当时没有截图,只有事后分析尽量还原出来。首先是电脑突然弹了个窗,提示清理垃圾之类的,如下图:
误以为是另一个软件弹的,随手点了立即清理,本来正在追射雕桐妹子的,突然电脑就卡顿了几下,然后出现了这样的一个窗口……
好吧,竟然是腾讯电脑管家,我又不要给qq等级加速,装这玩意干吗……立刻醒悟过来,刚才的弹窗看来就是诱导安装电脑管家的!那么问题又来了,这窗是谁弹的?
因为弹窗并不是一直存在,所以卸了电脑管家,琢磨着它应该不会善罢甘休。经过“日夜蹲守”的不懈努力下,终于定位到了弹窗的程序——%TEMP%目录下的一个名为“QXMatrixTools4524.exe”的程序:
果然是腾讯的签名,现在回想起来——应该是那段时间安装QQ游戏的时候带上的吧:
查看了下QXMatrixTools的程序的内部资源,找到了几个压缩包,解压之后发现原来给我预备的弹窗样式还不少……
这么多的弹窗款式——总有一款能骗到你。进一步分析,果然是只要点击了清理按钮,就会从服务器下载一个电脑管家直接装上:
但是整个下载和安装的过程完全是在后台执行的,而且也找不到卸载项,纯属无提示安装、无安装界面、无卸载项、无节操的四无产品……
继续追下去,这个QXMatrixTools又是另一个服务启动的——QQMicroGameBoxService.exe,而这个服务名称是“腾讯网页游戏微端服务”:
在这个目录底下,又看到了一个很“亲切”的文件名——QXMatrix.dll……用反编译工具随手看了看QQMicroGameBoxService的内容,果然会去加载QXMatrix.dll
而QXMatrix.dll释放的两个驱动(应该是对应x64和x86两版本)还会恢复“QQ音乐加速”、“QQLiveService”和“QQMicroGameBoxService”三个服务,用来给这三个服务保驾护航,防止被其他软件禁用掉。谁能想到在表面风平浪静之下,系统底层竟然被流氓搞得硝烟四起:
用QXMatrixTools这个关键词到网上搜了一下,原来这事情在知乎上早就曝光过,标题是“关于腾讯旗下产品经由QXMatrixTools开启的后门问题?”,去年9月就有人发现了,还有人分享了清理这个服务的方法:
之所以要分享清理方案,是因为——这个东西根本没有卸载项(为了看的清楚,专程到虚拟机里又装了一遍QQ游戏大厅):
事情到此算是大体上捋清楚了,大致总结如下:
1. 我装了个QQ游戏大厅
2. QQ游戏大厅给我带了个QQMicroGameBoxService的服务
3. 这个服务会加载QXMatrix.dll的动态库,释放驱动不断修复腾讯的服务,还时不时的给我的临时目录底下塞一个QXMatrixTools的小工具
4. 小工具会弹出个窗口来“温馨提示”——您的电脑该清理了
5. 一旦点了清理,会“贴心”的下载回来一个电脑管家为我服务……
6. 这一套组合拳不仅套路深,最后竟然还不提供卸载!
现在知道“全家桶”都是怎么来的了吧!
最后——感谢QQ自带的截图功能对本文撰写提供的帮助和支持。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)