近期,不少网友发现QQ群共享出现名为“女神沐浴照(真情版).rar”的文件。据360互联网安全中心检测,这其实是由QQ群蠕虫自动发布的病毒传播地址,网友们对此应提高警惕。
该蠕虫利用“90后女神视频”诱导下载,并欺骗用户关闭360安全卫士,“否则无法观看”。而一旦有网民中招,不光自己电脑遭殃,被安装大量流氓推广软件,蠕虫还会把病毒链接上传到受害者所有的QQ群共享内,使蠕虫大面积流行扩散。用户如果正常开启360安全软件防护,可以拦截并查杀此类QQ群蠕虫。
QQ群蠕虫分析
传播源:http://tdzxian.com/
当用户点击下载后,会在地址:http://2014518.b.xundisk.net/处下载一个名称为:美女资源共享室-【必看说明】.rar的压缩包
解压后:
其中有两个可执行文件,一个是七喜视频社区的推广包,该类推广包可以为蠕虫作者带来每单0.6元的收益:
另外一个“破解补丁”,实际是软件流氓推广下载者,在该解压包中有一份txt的说明文档,诱导用户安装注册girlshow客户端。此外,由于“破解补丁.exe”会被360拦截,这份说明文档还诱导用户选择放行。
破解补丁.exe分析
即从2014518.b.xundisk.net下载Server.exe以及7007.exe,以及一个名称为“女神沐浴照(真情版)”的压缩包,保存到本地C盘根目录下并启动执行。
7007.exe分析
7007.exe是具有传播性的QQ群蠕虫,它会做两件事,第一是将“女神沐浴照(真情版).rar”上传到受害者所有的QQ群共享;第二是在受害者的QQ空间里发表一条说说,其目的同样是传播蠕虫病毒。
蠕虫上传文件到QQ群共享的实现过程如下:
1、访问:http://xui.ptlogin2.qq.com/cgi-bin/qlogin,成功后获取Cookie。
360安全卫士可以将其拦截:
2、从Cookie中提取Skey参数
3、从Skey中按照如下算法得到g_tk参数
INT Hash = 5381;
for (INT i=0;i<skey.getlength();i++)< p="">
{
Hash += (Hash<<5)+(INT)Skey.GetAt(i);
}
DWORD g_tk = Hash&0x7FFFFFFF;
4、访问:http://qun.qzone.qq.com/cgi-bin/get_group_list?,获取群列表
5、访问:http://qun.qzone.qq.com/cgi-bin/group_share_list?uin=,获取群里共享的文件列表。
6、访问:http://qun.qzone.qq.com/cgi-bin/group_share_upload?g_tk=,
开始上传文件到群空间,这一步360同样也会拦截:
7、上传成功后,还要回传信息到病毒作者的服务器。回传部分数据如下:
回传地址为http://113.142.13.69:8080/ftn_handler/?ver=12345&ukey=
这一步操作同样会被360拦截:
蠕虫上传到群共享的rar解压后,有用的文件只有一个:
用户打开这个URL快捷方式后,会打开“90后女神”视频下载的蠕虫病毒传播源。
蠕虫发送说说到空间的过程与上传QQ群共享比较类似,只是最后访问的接口不一样,说说接口为:taotao.qq.com/cgi-bin/ emotion_cgi_publish_shuoshuo_v6??g_tk=
接下来去看看在Q说说上发表的说说中提到的百度云盘上存储的文件http://pan.baidu.com/s/1c0d3KWS
解压后如下:
空间装扮这个EXE功能
唯一的功能是从http://2014518.b.xundisk.net下载1000.exe到本地执行
1000.exe的功能
类似于一个软件安装器,下载大量的推广软件到用户的机器中
