真相:公開捆綁傳播,被指暗藏病毒
在百度上搜索“QQ表情”,找到相關網頁約1,660,000篇,搜索“多多QQ表情”,找到相關網頁約660,000篇,通過這簡單的計算,多多QQ表情擁有QQ表情市場近40%的市場佔有率。那麼這款有着驚人市場佔有率的軟件到底是一款什麼樣的軟件呢?
根據其官方介紹,多多QQ表情是一款專門為騰訊QQ用户打造的免費軟件,提供超炫QQ表情,點擊就能導入QQ表情中,導入完畢就能在QQ聊天時使用,豐富您的對話。同時QQ表情還向軟件作者和站長開出了價碼,稱將按0.05元一個的價格與軟件捆綁,且特別聲明,在安裝成功後在添加刪除程序中可以看到“多多QQ表情”選項,可自由卸載。
真相到底是怎樣呢?在百度裏,筆者發現得更多的卻是和求助電話裏類似的內容。見圖1:
圖1
同時,筆者向一位做安全的朋友求助,他稱,多多QQ表情雖然只有47K,而且表面上可挾載,但它確捆綁了另一個叫Update的病毒。而這已經大大超出了之前大家所定義的流氓軟件的範疇,因為,在諾頓和瑞星裏,大家已經將UPDATE定義成了病毒。
諾頓對QQ表情主程序的認定:
瑞星對QQ表情的認定:
超級兔子對多多QQ表情的認定:
對UPDATE的分析
顯性動作
[SetHomePage] Url=
[PopupIE] Url=
[PopupIE] Url=
[PopupIE] Url=
[PopupIE] Url=
[PopupIE] Url=
隱性動作
[Actions]訪問 Url=
[Update]升級 Url=
[Update] Url=
[Update] Url=$(setupid)&mac=$(computerid)&type=$(sendflag)&version=$(version)&exeversion=$(exeversion)&setupdate=$(setupdate)
在機器生成以下目錄以及文件:
C:Program FilesCommon FilesUPDATE
以上動作都是乾的
另外生成一個目錄以及文件:
C:Program FilesCommon FilesSAND
twunk_
還沒有看到具體動作,有潛伏期。