计【jì】世网消息【xī】 (特约作者 东方) QQ表情本来是广受用户欢迎的一个实用工具,然而,最近有人却利用人【rén】们对QQ表情的喜爱,将其【qí】变成了一种恶性病毒。最近,笔者不断接【jiē】到求助电话,受【shòu】到一【yī】款名叫多多QQ表情病毒的骚扰。笔者随即对这款工具软件进行调查,发现了其背后还【hái】暗藏着【zhe】惊【jīng】人秘密。
真相:公开捆绑传播,被指暗藏病毒
在百度上搜索“QQ表【biǎo】情”,找到相关网页约1,660,000篇,搜索“多多QQ表【biǎo】情【qíng】”,找到相关网页约660,000篇,通过这简单的计算,多多QQ表情拥【yōng】有QQ表情市场近40%的市场占【zhàn】有率。那么这【zhè】款有着惊人市场占有率的软【ruǎn】件到底是一款什么样的软件呢?
根据其官方【fāng】介绍,多多QQ表情是一款专门为腾讯【xùn】QQ用户【hù】打造的免费软件,提供超炫QQ表【biǎo】情,点击就能导入QQ表情【qíng】中,导入完毕就能在QQ聊天时使用,丰【fēng】富您的对话。同时QQ表情还向软件作者【zhě】和站长开出了价码,称将按【àn】0.05元一个的价格与软【ruǎn】件捆【kǔn】绑,且特别声明,在安装成功后在添加删除【chú】程序中可以看到“多多QQ表情”选项,可自由卸载。
真相到底是怎样呢?在百度里,笔者发现得更多的却是和求助电话里类似的内容。
同【tóng】时,笔者向一位做安全的朋友求助,他称【chēng】,多多QQ表情虽然只有47K,而且表面上可挟载,但它确捆绑了【le】另一【yī】个叫【jiào】Update的病【bìng】毒。而这已经大大超出了之前大家所定义的流氓【máng】软件的范畴,因【yīn】为,在诺顿和瑞星里,大家已经【jīng】将UPDATE定义成了病毒。
对UPDATE的分析
显性动作
[SetHomePage] Url=www.9991.com/
[PopupIE] Url=www.chanet.com.cn/click.cgi?a=6606&d=3086&u=
[PopupIE] Url=www.b2b2.net/51gg/index.html
[PopupIE] Url=www.7mp3.com
[PopupIE] Url=www.600001.com/
[PopupIE] Url=www.600005.com/
隐性动作
[Actions]访问 Url=file.qqhelper.com/up/update.dat
[Update]升级 Url=www.yulexingkong.com/mop/uninstalldrv.exe
[Update] Url=www.ha0l23.com/softbaby/uninstalltmp.exe
[Update] Url=tongji.qqhelper.com/tj/tj?setupid=$(setupid)&mac=$(computerid)&type=$(sendflag)&version=$(version)&exeversion=$(exeversion)&setupdate=$(setupdate)
在机器生成以下目录以及文件:
C:\Program Files\Common Files\UPDATE
update.dat
update.exe
以上动作都是update.exe干的
另外生成一个目录以及文件:
C:\Program Files\Common Files\SAND
updatesr.ini
svr.dat
qqfacerclient.exe
twunk_8.exe
还没有看到具体动作,有潜伏期。
背后:商业动机 弹出全球百强网站
多多QQ表情敢于挑【tiāo】战法律,公开捆绑恶性病毒,目的何在呢?笔者随后又对其展开了进一步【bù】的调查【chá】。首先,笔【bǐ】者打开了其弹出【chū】的第一个网站9991的链接,吃惊的发现【xiàn】,这家成立于2005年10月第二个星期的网站,在【zài】ALEXA里的排名居然已经上升到了全球【qiú】前100名。如果【guǒ】按照其REACH值1万来推算,其流量已经达到了新浪的【de】七分之一。
那么这家网站又是通过什么手段如何神奇般在3个月之内的由0做到【dào】全【quán】球100名呢?那【nà】就是前面被诺顿和瑞星认定【dìng】的多多QQ表情【qíng】携带的UPADATE病毒。同时,笔者打开多多QQ表情指向的其【qí】他相关网站,同【tóng】样发现了这个这恶性病毒所带来的巨额流量使这些网站在短期间内搭上了【le】超级火箭。
谁是幕后黑手?
在百度里,笔者输入“9991”显示的第一条【tiáo】结果是"9991实用生活【huó】网-网址大全-分类信息-实用查询",而对应的链接是【shì】www.woyaoshang.com(我要上),而不是www.9991.com,进去【qù】一看,内容【róng】和9991一样,相关的联系方式和9991也是一【yī】模【mó】一样,可以断定,他们是同一个人所为。
在DONEWS一篇BLOG暴料:“现在网站打着"9991.com是绿色安全网站,多家媒体宣传、推荐,点此查看",看来流氓【máng】改良了,不从事流氓事业了,关键是以前被【bèi】你流氓【máng】的用【yòng】户怎么摆【bǎi】脱痛苦【kǔ】!!!!www.woyaoshang.com又【yòu】是谁注册的呢?自己没【méi】有到域名注册商那去搜索,而是直接到了www.alexa.com 去查,查询到的邮箱是whocool@163.com,,再回到baidu搜索这个信箱,原形就出来了!邮箱无【wú】一例外都指向了同一个人【rén】-――大名鼎鼎的庞升东。”
看来,表面的众多证据,都【dōu】指向庞升东。但是,幕后到底又有怎样的实情?计【jì】世网将继续跟踪报道。