-
-
[原创]QQ游戏外挂收集色情文件 火绒提示切勿使用
-
发表于:
2021-4-2 21:27
4393
-
[原创]QQ游戏外挂收集色情文件 火绒提示切勿使用
【快讯】
近期,火绒工程师根据用户反馈,发现一款名为“QQ游戏智能机器人”的外挂程序,会针对广大游戏玩家,搜集和回传隐私数据,包括带有色情相关关键字的文件及含密码、账号、通信录、笔记等关键字的文件,被搜集的文件类型包括文档、图片、视频等。火绒用户无需担心,火绒安全软件已对该木马程序进行拦截查杀。
通过分析发现,该木马程序制作者通过云控会将任意QQ号列入黑名单,并删除其大量文件。除此之外,提供该木马程序的下载站,甚至会提醒用户“个别杀软误报本软件,请不要相信,本软件不是病毒木马,运行辅助前请请先退出杀软“。
游戏玩家受众较广,从事网络游戏外挂黑产的团队随之增多,市面上流通的外挂软件种类也不断增加。这类灰色程序软件,通常会携带各类病毒,威胁用户安全。火绒工程师提醒大家,请谨慎下载不明软件,如需下载应用软件请通过正规官网链接,并使用火绒及时查杀;如果必须使用某些不明程序,可以提前开启安全软件进行扫描、查杀,或者前往火绒论坛求助,确保文件、程序安全后再运行,以免遭遇风险。
附:【分析报告】
一、详细报告
近期根据用户反馈,在运行“QQ游戏智能机器人”程序之后,电脑中出现大量文件被删除的现象,恶意程序相关主页hxxp://www.qqfzn.com。经过分析发现,该模块包含云控上传文件以及删除文件逻辑。当用户使用该软件时,便会根据配置上传指定文件(上传开关暂未开启)。同时当用户QQ号或点卡卡号在该病毒配置的黑名单中时,便会遍历磁盘删除用户的文件。软件界面,如下图所示:
软件界面
病毒会从C&C服务器(hxxp://www.bseas.com/sm/qb6/k.xml)请求配置,里面包含升级,黑名单,上传文件配置等信息。部分配置文件内容,如下图所示:
配置文件
病毒通过遍历QQ UserDataSavePath目录的方式获得用户机器上登录过的QQ号,如果用户QQ账号或点卡卡号在黑名单中,那么病毒便会遍历磁盘,删除除了后缀名为.exe、.dll、.sys、.ini、.txt、.db、.lnk、.log以及配置文件中fileextp字段后缀名以外的文件。相关代码,如下图所示:
检查用户QQ是否在黑名单中
除此之外,恶意程序还会根据上传配置中fileext和fileext2字段,遍历上传扩展名为.doc、.docx、.xls、.xlsx、.ppt、.pptx、.jpg、.txt、.zip、.rar、.mp4、.wmv、.mpeg的文件(且上传文件大小需小于16M)。tryflag字段为尝试上传用户文件的开关,根据火绒现阶段请求结果,该开关暂为关闭状态。相关逻辑代码如下图所示:
遍历磁盘删除文件及上传指定后缀名文件相关逻辑
文件上传时,恶意代码会判断文件名中是否带有指定的关键字(yeskey上传文件关键、nokey为禁止上传的关键字)。上传文件控制关键字列表,如下图所示:
上传文件控制关键字列表
禁止上传的控制关键字列表,如下图所示:
禁止上传的控制关键字列表
文件上传相关代码逻辑,如下图所示:
文件上传相关代码逻辑
二、附录
病毒hash
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课