关于火绒拦截腾讯产品的说明

近日,我们收到许多用户反馈,火绒对腾讯官方程序进行报毒、自动拦截等处理,并因此怀疑火绒产品误杀、误报,现就该问题说明如下。
火绒产品之所以拦截腾讯相关产品安装,并且将其中某个模块当病毒处理,是因为腾讯QQ在推广“QQ浏览器”和“腾讯安全管家”的过程中,除了常见的欺骗、诱导之外,还存在功能严重越位、技术手段严重超常规(和某些病毒的行为一致)等问题。
因此火绒并没有误杀、误报,请广大用户看到火绒产品的拦截提示时,放心地阻止即可。需要强调的是,火绒不会影响QQ、QQ浏览器、腾讯安全管家等产品的正常运行,只是阻止其捆绑推广过程中的过激的侵权行为。
对于这些打扰用户、侵害用户权益的商业软件侵权行为,目前全球安全行业惯例都是按照病毒处理,国外安全软件也会同样处理。
根据“火绒威胁情报系统”的监测,从11月底开始,腾讯QQ用上述方法大规模推广“QQ浏览器”,之后又同时推”腾讯电脑管家”。据测算,近一个多月来,每天有数百万乃至上千万安装了QQ的电脑,受到此类侵权行为的骚扰。
详细分析报告如下:
1推广弹窗(1).jpg
2推广弹窗(2).jpg
据火绒安全团队分析,当用户电脑启动QQ后,会通过名为 “QQ安全防护进程(Q盾)” 的保护程序释放病毒“TrojanDownloader/Popeng.a”,随后用户就会收到腾讯的推广弹窗。一旦用户点击,上述软件就会立刻被安装到用户电脑。该程序具有很强的隐蔽性,在整个推广过程中,“TrojanDownloader/Popeng.a”会检测用户电脑中是否安装了 “360安全卫士”,若检测到,推广行为就会终止。此外,“TrojanDownloader/Popeng.a”还能随时接受远程“云控”指令,决定推广软件内容,以及是否继续实施推广。
据“火绒威胁情报系统”监测,该推广行为从今年11月末就已开始,并在持续加大推广力度。
本着对用户负责的宗旨,“火绒安全软件”针对病毒及静默安装的程序进行拦截报毒,不会删除用户下载的原始程序,请广大用户放心。
如上两幅图,分别为QQ推广的两个不同版本弹窗,第二组推广程序疑似为第一组程序的升级版。推广程序升级之后,不光界面进行了更改,推广行为的隐蔽性也有所加强。在推广软件上,第一组推广程序仅用来推广QQ浏览器,而第二组主要推广电脑管家,同时我们也在第二组程序资源中发现了QQ浏览器相关的推广资源(见图(2)红框部分)。第二组程序推广行为,如下图所示:
3推广行为.jpg
进程树如下图所示:
4推广程序进程树.jpg
上述推广行为是由QQProtect.exe程序触发,虽然该程序的文件描述为“QQ安全防护进程(Q盾)”,但是却后台进行弹窗推广。文件属性,如下图所示:
5QQProtect.exe文件属性.jpg
火绒拦截日志,如下图所示:
6火绒拦截日志.jpg
第一组推广程序,由QQProtect.exe进程触发,调用QQUpdPlugin.dll下载远程xml推广数据,远程请求到的xml数据可以“云控”推广内容。xml数据如下图所示:
7xml推广数据.jpg
获取到xml数据之后,程序会根据红框中所示的downloadfile标签url属性将最终的推广弹窗程序下载到” %temp%\dlqltps.exe”目录中进行执行,该程序注入explorer后,用explorer进程启动vfsti.exe弹出诱导推广弹窗。行为如下图所示:
8推广行为.jpg
第二组推广程序,推广流程更加复杂且更为隐蔽。推广流程还是由QQProtect.exe进程触发,首先会下载执行“MOXD1218.EXE”(简称为MOXD程序),在该程序的资源中包含有一个可执行程序(XFIXER.exe)和两个动态库(qfaydtc.dll和dzor.dll)。
文件资源,如下图所示:
9文件资源.jpg
代码如下图所示:
10资源释放相关代码.jpg
XFIXER.exe会被注册成COM接口,MOXD程序调用COM接口后,会由svchost进程启动资源中包含的可执行程序XFIXER.exe。调用代码如下图所示:
11相关逻辑代码.jpg
在执行完COM接口调用之后,MOXD程序会尝试删除之前注册的COM接口注册表项和自身文件。代码如下图所示:
12相关逻辑代码.jpg
该程序启动后会调用qfaydtc.dll动态库,解析“云控”xml推广数据后,最终下载执行推广弹窗程序。虽然推广弹窗程序下载至本地后的文件名近期进行过更改(开始为“TESSFE.EXE”后来变为“MODULE11.exe”),但是推广弹窗程序逻辑未出现变动。xml推广数据,如下图所示:
13xml推广数据.jpg
如果用户点击弹窗中的关闭按钮后,MODULE11.exe程序会被重命名为“.tmp”后缀的文件。如下图中的9.tmp、A.tmp和B.tmp:
14文件列表.jpg

发表评论

15 条评论

  1. 匿名 Windows 10 x64 Chrome 55.0.2883.87 2018-01-21 00:24
    #15楼

    3c32e8131771e4af6c88ad020a0ad1ce 这是??

    支持[0]反对[0]
  2. 47ba39344a04482c6447c7d0 Windows 10 x64 Chrome 55.0.2883.87 2018-01-20 20:33
    #14楼

    47ba39344a04482c6447c7d0ee762196这是什么意思啊

    支持[0]反对[0]
  3. 匿名 Windows 8.1 x64 Chrome 58.0.3029.61 2018-01-08 18:18
    #13楼

    国内的网络公司至今难以提供超越同质化的特色内容, 只能靠这种WC的手段增加流量,国内的网络环境早就被几大ZF控制的公司搞的乌烟瘴气,经常看到网友吐槽某某软件各种捆绑,想想一句老话,正是上梁不正下梁才歪啊。。。
    PS:百度你长点心吧,搜索引擎搞了那么多年,命中率和相关率还是和坨翔一样,各种吹牛智能,不比不知道,一比吓一跳,搞科研百度那个垃圾引擎基本上不了台面。。。现在买了2年的LD-VIP,我就说一句,有哪个啥谁用你百度啊。。。。民智未开,拼命封禁总有还的那一天的。。。

    支持[4]反对[0]
  4. 沉默じ菋噵 Windows 7 Chrome 60.0.3112.90 2018-01-01 21:07
    #12楼

    用了一周,非常好用!!!!立马把金山的撤了,金山卫士那B,也和腾讯一样,第次开机都弹窗说装了毒霸以后电脑还能提速多少多少,和腾讯没什么两样,弱一次两次就好,每次开机都来.烦的一B

    支持[3]反对[0]
  5. 匿名 Windows 10 x64 Chrome 63.0.3239.108 2017-12-26 20:08
    #11楼

    已用火绒很多年,推荐杀毒也一直都是火绒。

    支持[0]反对[0]
  6. 匿名 Windows 10 x64 Chrome 62.0.3202.89 2017-12-26 18:08
    #10楼

    腾讯:菊花藤,我们把火绒收购了吧! :evil:

    支持[2]反对[0]
  7. 匿名 Windows 7 x64 Firefox 57.0 2017-12-26 16:41
    #9楼

    手机QQ有后门!!

    支持[1]反对[0]
  8. 匿名 Windows 10 x64 Chrome 55.0.2883.87 2017-12-26 16:25
    #8楼

    一直不明白,为什么大家都说360流氓。其实最流氓的就是腾讯,没有之一。金山自从被腾讯收购,也非常流氓了。

    支持[12]反对[2]
  9. 匿名 Windows 7 Chrome 61.0.3163.91 2017-12-26 15:43
    #7楼

    流氓始终是流氓

    支持[2]反对[0]
  10. 匿名 Windows 10 x64 Chrome 63.0.3239.52 2017-12-26 14:56
    #6楼

    难怪我之前有两次收到QQ浏览器安装推广,被我终止了,现在腾讯已如此了,无言啊!

    支持[0]反对[0]
  11. 匿名 Windows 10 x64 Chrome 55.0.2883.87 2017-12-26 14:15
    #5楼

    腾讯总算道谦了,可下一次病毒推广会不会更隐蔽呢

    支持[0]反对[0]
  12. 匿名 Windows 7 x64 Chrome 61.0.3163.79 2017-12-26 12:58
    #4楼

    很好

    支持[0]反对[0]
  13. 匿名 Windows 7 x64 Chrome 55.0.2883.87 2017-12-26 11:51
    #地板

    业界良心呐

    支持[0]反对[0]
  14. 匿名 Windows 7 x64 Firefox 57.0 2017-12-26 11:49
    #板凳

    火绒很好用,小巧

    支持[0]反对[0]
  15. 匿名 华为手机 2017-12-26 11:41
    #沙发

    干得漂亮

    支持[4]反对[1]