超级军网瑞星证实扣扣保镖设后门 可骗QQ用户备份信息
来源:百度文库 编辑:超级军网 时间:2024/04/18 11:45:14
[导读]第三方反病毒机构瑞星报道证实,扣扣保镖除了界面上的可见功能以外,还存在屏蔽QQ软件升级、劫持腾讯浏览器、屏蔽QQ启动的特定进程列表、骗取QQ用户备份信息等4个隐藏的功能,用户无法控制。
腾讯科技讯 北京时间11月5日消息,国内知名第三方反病毒机构瑞星最新发布的技术分析报告证实,扣扣保镖除了拥有其宣称的11大类可见功能之外,至少还存在4个隐藏功能,这些功能仅针对QQ,且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态,并且可由360公司远程开启。
昨日,曾有媒体报道扣扣保镖存在四大后门技术,可以随时远程开启。但360对此矢口否认。如今终于得到来自第三方反病毒机构瑞星铁一般的证实。
以下是报告全文:
360扣扣保镖为何激怒腾讯?
----瑞星第三方独立研究报告(一)
2010年10月29日,360公司在京宣布,推出一款名为“扣扣保镖”的安全工具,全面保护QQ用户的安全。该工具包括防止隐私漏泄、防止木马盗取QQ账号以及给QQ加速等功能。360称,扣扣保镖默认不修改QQ任何设置,所有功能都必须由用户主动选择触发,并可随时启用和恢复。
瑞星研发部门通过对扣扣保镖(1.0.0.1004版本)主要功能实现模块QGuard.dll进行分析:发现该软件除了拥有其宣称的11大类可见功能之外,至少还存在4个隐藏功能,这些功能仅针对QQ,且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态,并且可由360公司远程开启。
扣扣保镖4个隐藏功能详细分析
扣扣保镖除了界面上的可见功能以外,还存在屏蔽QQ软件升级、劫持腾讯浏览器、屏蔽QQ启动的特定进程列表、备份并恢复QQ软件等4个隐藏的功能,它们均由Config.ini文件进行开关控制。经分析,该控制文件在扣扣保镖安装包中并没有提供,安装后也不会自动生成,只可能由360 “云服务器”直接进行远程投递(或用户可以手动生成激活隐藏功能)。也就是说,用户对于这些隐藏功能均无法控制,而且不了解其激活和生效情况。
技术细节:
用户使用扣扣保镖(1.0.0.1004版本)时,它会把自己的主要功能模块QGuard.dll通过全局钩子方式注入腾讯QQ进程,并拦截QQ进程的系统调用ShellExecuteExW和CreateProcessInternalW等,时刻关注Config.ini文件(隐藏功能激活文件),一旦发现该文件存在,将根据文件内容进行相关隐藏功能的激活动作。
通过对现有的4个隐藏功能代码分析,我们可以推测Config.ini文件至少存在以下4种开关:
[Main]
DisableUpdate=1 //自动屏蔽QQ升级,导致用户不知情的情况下QQ软件无法升级。
DisableBrowser=1 //劫持QQ对浏览器的启动并替换为360”安全”浏览器。
Com=<过滤的进程文件名1>;<过滤的进程文件名2>;……
//自动屏蔽QQ启动指定镜像名例表的进程启动。
enable_repair=1 //开启备份QQ的参数:是否开启弹框引导用户备份QQ软件
MaxNotifyCount = 50 //开启备份QQ的参数:最多弹框次数
FirstNotify=1 //开启备份QQ的参数: QQ启动后弹框的时间(秒)
以下为扣扣保镖QGuard.dll 进行WINDOWS API 拦截及API拦截功能实现的相关代码
扣扣保镖在QQ IM进程中拦截相关系统API后将实时监控QQIM启动进程动作(用户不能使用任何功能设置项进行隐藏功能关闭操作)
隐藏功能一:激活后自动屏蔽QQ软件升级
该隐藏功能影响域:
该隐藏功能激活后,QQ的安全组件、QQ本身等软件都不能正常更新升级(用户毫不知情,也不会得到任何错误提示),QQ软件将变成一个“死”软件。
以下为扣扣保镖QGuard.dll在拦截ShellExecuteExW及CreateProcessInternalW后进行的QQ IM启动升级进程(屏蔽QQ升级)识别及屏蔽升级部分代码。
如果发现启动的是auclt.exe、SelfUpdate.exe和QQSafeud.exe并在Config.ini文件中DisableUpdate=1则将绕开真实系统调用,使QQ升级进程启动失效。这些操作将对用户没有任何提示!
隐藏功能二:激活后根据指定进程列表进行QQ启动程序的拦截
该隐藏功能影响域:
该隐藏功能激活后,将根据360投送的Config.ini里指定的进程名进行QQ启动程序过滤。这将让360可以非常方便进行可控的QQ启动程序拦截。
扣扣保镖还会尝试读取位于安装目录下360\360safe\360QGuard\下的Config.ini中Main主键下的Com字段(参照上文所述Config.ini结构)。由于Config.ini在默认安装情况下不存在,在此无法得知具体需要屏蔽的进程,但是通过分析代码可以得知此字段为一个由“;”分割的一个进程列表。扣扣保镖将拦截此列表中所有文件名相同的进程的启动。
以下为QQ启动程序屏蔽列表部分代码
以下为:扣扣保镖QGuard.dll屏蔽列表读取代码
除此之外还会在%AppData%的配置文件UserConfig.ini中读取component字段,其中每一项镜像名其后的0和1为进程屏蔽开关。
%AppData%\360QGuard\UserConfig.ini内容如下:
[component]
<要阻止的文件名及扩展名>=0|1
隐藏功能三:激活后对QQ软件的浏览器进行劫持(替换成360浏览器)
该隐藏功能影响域:
该功能激活后,QQ 进程启动的浏览器进程(带参数浏览URL方式)将被替换成启动360SE来进行浏览(装着360浏览器的情况下)。由于该功能是拦截 API实现,所以无论用户设置的默认浏览是什么,也不论腾讯QQ当前选用哪个浏览器都将被劫持成360SE(附:该隐藏功能不单可以劫持TTraveler.exe,QQBrowser.exe,还能根据升级的配置随时指定劫持的浏览器进程名。)
这样QQ软件用户聊天时带的所有URL链接的浏览量将都被360SE获取。
扣扣保镖QGuard.dll拦截程序,发现QQ IM启动的程序为腾讯的浏览器(TTraveler.exe和QQBrowser.exe),且Config.ini文件内容中有DisableBrowser=1,则将QQ IM启动的浏览器自动替换为360的浏览器。
除此之外,通过最后一行Call InitComponent读取位于%AppData%的配置文件UserConfig.ini中的component项是否有指定名称的镜像名,如果发现也将替换为360的浏览器。
隐藏功能四:激活后欺骗用户对QQ软件进行备份(并可做恢复操作)
该隐藏功能影响域:
该隐藏功能激活后,将根据360投送的Config.ini里配置的参数引导用户备份QQ软件到360指定目录,并可通过扣扣保镖进行恢复。
在config.ini里填入以上内容,在启动QQ时会出现以下对话框
在这里可以禁用QQ的自动更新功能。备份按钮会将QQ的全部数据备份到360的
配置目录。如下图:
相关代码如下:
分析总结:
由于360扣扣保镖的这4个隐藏功能针对性极强(针对QQ软件)并具有:
1、在不被用户知情的情况下进行破坏其它软件正常运行的流氓软件特性。
2、绕开用户控制隐蔽触发的后门功能特性。
3、注入其它进程,修改其正常功能运行方式的外挂特性。
而这些技术手段通常只在木马、后门、病毒这类恶意软件上见到,在一款“以安全为名”的软件上出现并针对正常软件使用是极为罕见的。这也可以很好地理解为什么360让它如此短命,腾讯为什么如此愤怒。
附:
从百度百科中查出一些公众认知的定义:
外挂:外挂一般是指在电脑运行中,一个程序通过某种事件触发而得以挂接到另外一个程序的空间里(常用的触发事件有键盘触发,鼠标触发,消息触发等),挂接的目的通常是想改变被挂接程序的运行方式。
后门功能:指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的方法。
流氓软件新发展:新的流氓软件可能并没有捆绑插件,新的流氓行为包括故意妨碍其他同类软件的使用,新的流氓行为包括把自己的流氓行为说成是BUG或者好功能,以此来掩盖自己肮脏的目的,新的流氓都精通心理学,把用户的心理研究的透透彻彻,并利用这种心理来做利于自己的事情。[导读]第三方反病毒机构瑞星报道证实,扣扣保镖除了界面上的可见功能以外,还存在屏蔽QQ软件升级、劫持腾讯浏览器、屏蔽QQ启动的特定进程列表、骗取QQ用户备份信息等4个隐藏的功能,用户无法控制。
腾讯科技讯 北京时间11月5日消息,国内知名第三方反病毒机构瑞星最新发布的技术分析报告证实,扣扣保镖除了拥有其宣称的11大类可见功能之外,至少还存在4个隐藏功能,这些功能仅针对QQ,且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态,并且可由360公司远程开启。
昨日,曾有媒体报道扣扣保镖存在四大后门技术,可以随时远程开启。但360对此矢口否认。如今终于得到来自第三方反病毒机构瑞星铁一般的证实。
以下是报告全文:
360扣扣保镖为何激怒腾讯?
----瑞星第三方独立研究报告(一)
2010年10月29日,360公司在京宣布,推出一款名为“扣扣保镖”的安全工具,全面保护QQ用户的安全。该工具包括防止隐私漏泄、防止木马盗取QQ账号以及给QQ加速等功能。360称,扣扣保镖默认不修改QQ任何设置,所有功能都必须由用户主动选择触发,并可随时启用和恢复。
瑞星研发部门通过对扣扣保镖(1.0.0.1004版本)主要功能实现模块QGuard.dll进行分析:发现该软件除了拥有其宣称的11大类可见功能之外,至少还存在4个隐藏功能,这些功能仅针对QQ,且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态,并且可由360公司远程开启。
扣扣保镖4个隐藏功能详细分析
扣扣保镖除了界面上的可见功能以外,还存在屏蔽QQ软件升级、劫持腾讯浏览器、屏蔽QQ启动的特定进程列表、备份并恢复QQ软件等4个隐藏的功能,它们均由Config.ini文件进行开关控制。经分析,该控制文件在扣扣保镖安装包中并没有提供,安装后也不会自动生成,只可能由360 “云服务器”直接进行远程投递(或用户可以手动生成激活隐藏功能)。也就是说,用户对于这些隐藏功能均无法控制,而且不了解其激活和生效情况。
技术细节:
用户使用扣扣保镖(1.0.0.1004版本)时,它会把自己的主要功能模块QGuard.dll通过全局钩子方式注入腾讯QQ进程,并拦截QQ进程的系统调用ShellExecuteExW和CreateProcessInternalW等,时刻关注Config.ini文件(隐藏功能激活文件),一旦发现该文件存在,将根据文件内容进行相关隐藏功能的激活动作。
通过对现有的4个隐藏功能代码分析,我们可以推测Config.ini文件至少存在以下4种开关:
[Main]
DisableUpdate=1 //自动屏蔽QQ升级,导致用户不知情的情况下QQ软件无法升级。
DisableBrowser=1 //劫持QQ对浏览器的启动并替换为360”安全”浏览器。
Com=<过滤的进程文件名1>;<过滤的进程文件名2>;……
//自动屏蔽QQ启动指定镜像名例表的进程启动。
enable_repair=1 //开启备份QQ的参数:是否开启弹框引导用户备份QQ软件
MaxNotifyCount = 50 //开启备份QQ的参数:最多弹框次数
FirstNotify=1 //开启备份QQ的参数: QQ启动后弹框的时间(秒)
以下为扣扣保镖QGuard.dll 进行WINDOWS API 拦截及API拦截功能实现的相关代码
扣扣保镖在QQ IM进程中拦截相关系统API后将实时监控QQIM启动进程动作(用户不能使用任何功能设置项进行隐藏功能关闭操作)
隐藏功能一:激活后自动屏蔽QQ软件升级
该隐藏功能影响域:
该隐藏功能激活后,QQ的安全组件、QQ本身等软件都不能正常更新升级(用户毫不知情,也不会得到任何错误提示),QQ软件将变成一个“死”软件。
以下为扣扣保镖QGuard.dll在拦截ShellExecuteExW及CreateProcessInternalW后进行的QQ IM启动升级进程(屏蔽QQ升级)识别及屏蔽升级部分代码。
如果发现启动的是auclt.exe、SelfUpdate.exe和QQSafeud.exe并在Config.ini文件中DisableUpdate=1则将绕开真实系统调用,使QQ升级进程启动失效。这些操作将对用户没有任何提示!
隐藏功能二:激活后根据指定进程列表进行QQ启动程序的拦截
该隐藏功能影响域:
该隐藏功能激活后,将根据360投送的Config.ini里指定的进程名进行QQ启动程序过滤。这将让360可以非常方便进行可控的QQ启动程序拦截。
扣扣保镖还会尝试读取位于安装目录下360\360safe\360QGuard\下的Config.ini中Main主键下的Com字段(参照上文所述Config.ini结构)。由于Config.ini在默认安装情况下不存在,在此无法得知具体需要屏蔽的进程,但是通过分析代码可以得知此字段为一个由“;”分割的一个进程列表。扣扣保镖将拦截此列表中所有文件名相同的进程的启动。
以下为QQ启动程序屏蔽列表部分代码
以下为:扣扣保镖QGuard.dll屏蔽列表读取代码
除此之外还会在%AppData%的配置文件UserConfig.ini中读取component字段,其中每一项镜像名其后的0和1为进程屏蔽开关。
%AppData%\360QGuard\UserConfig.ini内容如下:
[component]
<要阻止的文件名及扩展名>=0|1
隐藏功能三:激活后对QQ软件的浏览器进行劫持(替换成360浏览器)
该隐藏功能影响域:
该功能激活后,QQ 进程启动的浏览器进程(带参数浏览URL方式)将被替换成启动360SE来进行浏览(装着360浏览器的情况下)。由于该功能是拦截 API实现,所以无论用户设置的默认浏览是什么,也不论腾讯QQ当前选用哪个浏览器都将被劫持成360SE(附:该隐藏功能不单可以劫持TTraveler.exe,QQBrowser.exe,还能根据升级的配置随时指定劫持的浏览器进程名。)
这样QQ软件用户聊天时带的所有URL链接的浏览量将都被360SE获取。
扣扣保镖QGuard.dll拦截程序,发现QQ IM启动的程序为腾讯的浏览器(TTraveler.exe和QQBrowser.exe),且Config.ini文件内容中有DisableBrowser=1,则将QQ IM启动的浏览器自动替换为360的浏览器。
除此之外,通过最后一行Call InitComponent读取位于%AppData%的配置文件UserConfig.ini中的component项是否有指定名称的镜像名,如果发现也将替换为360的浏览器。
隐藏功能四:激活后欺骗用户对QQ软件进行备份(并可做恢复操作)
该隐藏功能影响域:
该隐藏功能激活后,将根据360投送的Config.ini里配置的参数引导用户备份QQ软件到360指定目录,并可通过扣扣保镖进行恢复。
在config.ini里填入以上内容,在启动QQ时会出现以下对话框
在这里可以禁用QQ的自动更新功能。备份按钮会将QQ的全部数据备份到360的
配置目录。如下图:
相关代码如下:
分析总结:
由于360扣扣保镖的这4个隐藏功能针对性极强(针对QQ软件)并具有:
1、在不被用户知情的情况下进行破坏其它软件正常运行的流氓软件特性。
2、绕开用户控制隐蔽触发的后门功能特性。
3、注入其它进程,修改其正常功能运行方式的外挂特性。
而这些技术手段通常只在木马、后门、病毒这类恶意软件上见到,在一款“以安全为名”的软件上出现并针对正常软件使用是极为罕见的。这也可以很好地理解为什么360让它如此短命,腾讯为什么如此愤怒。
附:
从百度百科中查出一些公众认知的定义:
外挂:外挂一般是指在电脑运行中,一个程序通过某种事件触发而得以挂接到另外一个程序的空间里(常用的触发事件有键盘触发,鼠标触发,消息触发等),挂接的目的通常是想改变被挂接程序的运行方式。
后门功能:指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的方法。
流氓软件新发展:新的流氓软件可能并没有捆绑插件,新的流氓行为包括故意妨碍其他同类软件的使用,新的流氓行为包括把自己的流氓行为说成是BUG或者好功能,以此来掩盖自己肮脏的目的,新的流氓都精通心理学,把用户的心理研究的透透彻彻,并利用这种心理来做利于自己的事情。
腾讯科技讯 北京时间11月5日消息,国内知名第三方反病毒机构瑞星最新发布的技术分析报告证实,扣扣保镖除了拥有其宣称的11大类可见功能之外,至少还存在4个隐藏功能,这些功能仅针对QQ,且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态,并且可由360公司远程开启。
昨日,曾有媒体报道扣扣保镖存在四大后门技术,可以随时远程开启。但360对此矢口否认。如今终于得到来自第三方反病毒机构瑞星铁一般的证实。
以下是报告全文:
360扣扣保镖为何激怒腾讯?
----瑞星第三方独立研究报告(一)
2010年10月29日,360公司在京宣布,推出一款名为“扣扣保镖”的安全工具,全面保护QQ用户的安全。该工具包括防止隐私漏泄、防止木马盗取QQ账号以及给QQ加速等功能。360称,扣扣保镖默认不修改QQ任何设置,所有功能都必须由用户主动选择触发,并可随时启用和恢复。
瑞星研发部门通过对扣扣保镖(1.0.0.1004版本)主要功能实现模块QGuard.dll进行分析:发现该软件除了拥有其宣称的11大类可见功能之外,至少还存在4个隐藏功能,这些功能仅针对QQ,且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态,并且可由360公司远程开启。
扣扣保镖4个隐藏功能详细分析
扣扣保镖除了界面上的可见功能以外,还存在屏蔽QQ软件升级、劫持腾讯浏览器、屏蔽QQ启动的特定进程列表、备份并恢复QQ软件等4个隐藏的功能,它们均由Config.ini文件进行开关控制。经分析,该控制文件在扣扣保镖安装包中并没有提供,安装后也不会自动生成,只可能由360 “云服务器”直接进行远程投递(或用户可以手动生成激活隐藏功能)。也就是说,用户对于这些隐藏功能均无法控制,而且不了解其激活和生效情况。
技术细节:
用户使用扣扣保镖(1.0.0.1004版本)时,它会把自己的主要功能模块QGuard.dll通过全局钩子方式注入腾讯QQ进程,并拦截QQ进程的系统调用ShellExecuteExW和CreateProcessInternalW等,时刻关注Config.ini文件(隐藏功能激活文件),一旦发现该文件存在,将根据文件内容进行相关隐藏功能的激活动作。
通过对现有的4个隐藏功能代码分析,我们可以推测Config.ini文件至少存在以下4种开关:
[Main]
DisableUpdate=1 //自动屏蔽QQ升级,导致用户不知情的情况下QQ软件无法升级。
DisableBrowser=1 //劫持QQ对浏览器的启动并替换为360”安全”浏览器。
Com=<过滤的进程文件名1>;<过滤的进程文件名2>;……
//自动屏蔽QQ启动指定镜像名例表的进程启动。
enable_repair=1 //开启备份QQ的参数:是否开启弹框引导用户备份QQ软件
MaxNotifyCount = 50 //开启备份QQ的参数:最多弹框次数
FirstNotify=1 //开启备份QQ的参数: QQ启动后弹框的时间(秒)
以下为扣扣保镖QGuard.dll 进行WINDOWS API 拦截及API拦截功能实现的相关代码
扣扣保镖在QQ IM进程中拦截相关系统API后将实时监控QQIM启动进程动作(用户不能使用任何功能设置项进行隐藏功能关闭操作)
隐藏功能一:激活后自动屏蔽QQ软件升级
该隐藏功能影响域:
该隐藏功能激活后,QQ的安全组件、QQ本身等软件都不能正常更新升级(用户毫不知情,也不会得到任何错误提示),QQ软件将变成一个“死”软件。
以下为扣扣保镖QGuard.dll在拦截ShellExecuteExW及CreateProcessInternalW后进行的QQ IM启动升级进程(屏蔽QQ升级)识别及屏蔽升级部分代码。
如果发现启动的是auclt.exe、SelfUpdate.exe和QQSafeud.exe并在Config.ini文件中DisableUpdate=1则将绕开真实系统调用,使QQ升级进程启动失效。这些操作将对用户没有任何提示!
隐藏功能二:激活后根据指定进程列表进行QQ启动程序的拦截
该隐藏功能影响域:
该隐藏功能激活后,将根据360投送的Config.ini里指定的进程名进行QQ启动程序过滤。这将让360可以非常方便进行可控的QQ启动程序拦截。
扣扣保镖还会尝试读取位于安装目录下360\360safe\360QGuard\下的Config.ini中Main主键下的Com字段(参照上文所述Config.ini结构)。由于Config.ini在默认安装情况下不存在,在此无法得知具体需要屏蔽的进程,但是通过分析代码可以得知此字段为一个由“;”分割的一个进程列表。扣扣保镖将拦截此列表中所有文件名相同的进程的启动。
以下为QQ启动程序屏蔽列表部分代码
以下为:扣扣保镖QGuard.dll屏蔽列表读取代码
除此之外还会在%AppData%的配置文件UserConfig.ini中读取component字段,其中每一项镜像名其后的0和1为进程屏蔽开关。
%AppData%\360QGuard\UserConfig.ini内容如下:
[component]
<要阻止的文件名及扩展名>=0|1
隐藏功能三:激活后对QQ软件的浏览器进行劫持(替换成360浏览器)
该隐藏功能影响域:
该功能激活后,QQ 进程启动的浏览器进程(带参数浏览URL方式)将被替换成启动360SE来进行浏览(装着360浏览器的情况下)。由于该功能是拦截 API实现,所以无论用户设置的默认浏览是什么,也不论腾讯QQ当前选用哪个浏览器都将被劫持成360SE(附:该隐藏功能不单可以劫持TTraveler.exe,QQBrowser.exe,还能根据升级的配置随时指定劫持的浏览器进程名。)
这样QQ软件用户聊天时带的所有URL链接的浏览量将都被360SE获取。
扣扣保镖QGuard.dll拦截程序,发现QQ IM启动的程序为腾讯的浏览器(TTraveler.exe和QQBrowser.exe),且Config.ini文件内容中有DisableBrowser=1,则将QQ IM启动的浏览器自动替换为360的浏览器。
除此之外,通过最后一行Call InitComponent读取位于%AppData%的配置文件UserConfig.ini中的component项是否有指定名称的镜像名,如果发现也将替换为360的浏览器。
隐藏功能四:激活后欺骗用户对QQ软件进行备份(并可做恢复操作)
该隐藏功能影响域:
该隐藏功能激活后,将根据360投送的Config.ini里配置的参数引导用户备份QQ软件到360指定目录,并可通过扣扣保镖进行恢复。
在config.ini里填入以上内容,在启动QQ时会出现以下对话框
在这里可以禁用QQ的自动更新功能。备份按钮会将QQ的全部数据备份到360的
配置目录。如下图:
相关代码如下:
分析总结:
由于360扣扣保镖的这4个隐藏功能针对性极强(针对QQ软件)并具有:
1、在不被用户知情的情况下进行破坏其它软件正常运行的流氓软件特性。
2、绕开用户控制隐蔽触发的后门功能特性。
3、注入其它进程,修改其正常功能运行方式的外挂特性。
而这些技术手段通常只在木马、后门、病毒这类恶意软件上见到,在一款“以安全为名”的软件上出现并针对正常软件使用是极为罕见的。这也可以很好地理解为什么360让它如此短命,腾讯为什么如此愤怒。
附:
从百度百科中查出一些公众认知的定义:
外挂:外挂一般是指在电脑运行中,一个程序通过某种事件触发而得以挂接到另外一个程序的空间里(常用的触发事件有键盘触发,鼠标触发,消息触发等),挂接的目的通常是想改变被挂接程序的运行方式。
后门功能:指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的方法。
流氓软件新发展:新的流氓软件可能并没有捆绑插件,新的流氓行为包括故意妨碍其他同类软件的使用,新的流氓行为包括把自己的流氓行为说成是BUG或者好功能,以此来掩盖自己肮脏的目的,新的流氓都精通心理学,把用户的心理研究的透透彻彻,并利用这种心理来做利于自己的事情。[导读]第三方反病毒机构瑞星报道证实,扣扣保镖除了界面上的可见功能以外,还存在屏蔽QQ软件升级、劫持腾讯浏览器、屏蔽QQ启动的特定进程列表、骗取QQ用户备份信息等4个隐藏的功能,用户无法控制。
腾讯科技讯 北京时间11月5日消息,国内知名第三方反病毒机构瑞星最新发布的技术分析报告证实,扣扣保镖除了拥有其宣称的11大类可见功能之外,至少还存在4个隐藏功能,这些功能仅针对QQ,且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态,并且可由360公司远程开启。
昨日,曾有媒体报道扣扣保镖存在四大后门技术,可以随时远程开启。但360对此矢口否认。如今终于得到来自第三方反病毒机构瑞星铁一般的证实。
以下是报告全文:
360扣扣保镖为何激怒腾讯?
----瑞星第三方独立研究报告(一)
2010年10月29日,360公司在京宣布,推出一款名为“扣扣保镖”的安全工具,全面保护QQ用户的安全。该工具包括防止隐私漏泄、防止木马盗取QQ账号以及给QQ加速等功能。360称,扣扣保镖默认不修改QQ任何设置,所有功能都必须由用户主动选择触发,并可随时启用和恢复。
瑞星研发部门通过对扣扣保镖(1.0.0.1004版本)主要功能实现模块QGuard.dll进行分析:发现该软件除了拥有其宣称的11大类可见功能之外,至少还存在4个隐藏功能,这些功能仅针对QQ,且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态,并且可由360公司远程开启。
扣扣保镖4个隐藏功能详细分析
扣扣保镖除了界面上的可见功能以外,还存在屏蔽QQ软件升级、劫持腾讯浏览器、屏蔽QQ启动的特定进程列表、备份并恢复QQ软件等4个隐藏的功能,它们均由Config.ini文件进行开关控制。经分析,该控制文件在扣扣保镖安装包中并没有提供,安装后也不会自动生成,只可能由360 “云服务器”直接进行远程投递(或用户可以手动生成激活隐藏功能)。也就是说,用户对于这些隐藏功能均无法控制,而且不了解其激活和生效情况。
技术细节:
用户使用扣扣保镖(1.0.0.1004版本)时,它会把自己的主要功能模块QGuard.dll通过全局钩子方式注入腾讯QQ进程,并拦截QQ进程的系统调用ShellExecuteExW和CreateProcessInternalW等,时刻关注Config.ini文件(隐藏功能激活文件),一旦发现该文件存在,将根据文件内容进行相关隐藏功能的激活动作。
通过对现有的4个隐藏功能代码分析,我们可以推测Config.ini文件至少存在以下4种开关:
[Main]
DisableUpdate=1 //自动屏蔽QQ升级,导致用户不知情的情况下QQ软件无法升级。
DisableBrowser=1 //劫持QQ对浏览器的启动并替换为360”安全”浏览器。
Com=<过滤的进程文件名1>;<过滤的进程文件名2>;……
//自动屏蔽QQ启动指定镜像名例表的进程启动。
enable_repair=1 //开启备份QQ的参数:是否开启弹框引导用户备份QQ软件
MaxNotifyCount = 50 //开启备份QQ的参数:最多弹框次数
FirstNotify=1 //开启备份QQ的参数: QQ启动后弹框的时间(秒)
以下为扣扣保镖QGuard.dll 进行WINDOWS API 拦截及API拦截功能实现的相关代码
扣扣保镖在QQ IM进程中拦截相关系统API后将实时监控QQIM启动进程动作(用户不能使用任何功能设置项进行隐藏功能关闭操作)
隐藏功能一:激活后自动屏蔽QQ软件升级
该隐藏功能影响域:
该隐藏功能激活后,QQ的安全组件、QQ本身等软件都不能正常更新升级(用户毫不知情,也不会得到任何错误提示),QQ软件将变成一个“死”软件。
以下为扣扣保镖QGuard.dll在拦截ShellExecuteExW及CreateProcessInternalW后进行的QQ IM启动升级进程(屏蔽QQ升级)识别及屏蔽升级部分代码。
如果发现启动的是auclt.exe、SelfUpdate.exe和QQSafeud.exe并在Config.ini文件中DisableUpdate=1则将绕开真实系统调用,使QQ升级进程启动失效。这些操作将对用户没有任何提示!
隐藏功能二:激活后根据指定进程列表进行QQ启动程序的拦截
该隐藏功能影响域:
该隐藏功能激活后,将根据360投送的Config.ini里指定的进程名进行QQ启动程序过滤。这将让360可以非常方便进行可控的QQ启动程序拦截。
扣扣保镖还会尝试读取位于安装目录下360\360safe\360QGuard\下的Config.ini中Main主键下的Com字段(参照上文所述Config.ini结构)。由于Config.ini在默认安装情况下不存在,在此无法得知具体需要屏蔽的进程,但是通过分析代码可以得知此字段为一个由“;”分割的一个进程列表。扣扣保镖将拦截此列表中所有文件名相同的进程的启动。
以下为QQ启动程序屏蔽列表部分代码
以下为:扣扣保镖QGuard.dll屏蔽列表读取代码
除此之外还会在%AppData%的配置文件UserConfig.ini中读取component字段,其中每一项镜像名其后的0和1为进程屏蔽开关。
%AppData%\360QGuard\UserConfig.ini内容如下:
[component]
<要阻止的文件名及扩展名>=0|1
隐藏功能三:激活后对QQ软件的浏览器进行劫持(替换成360浏览器)
该隐藏功能影响域:
该功能激活后,QQ 进程启动的浏览器进程(带参数浏览URL方式)将被替换成启动360SE来进行浏览(装着360浏览器的情况下)。由于该功能是拦截 API实现,所以无论用户设置的默认浏览是什么,也不论腾讯QQ当前选用哪个浏览器都将被劫持成360SE(附:该隐藏功能不单可以劫持TTraveler.exe,QQBrowser.exe,还能根据升级的配置随时指定劫持的浏览器进程名。)
这样QQ软件用户聊天时带的所有URL链接的浏览量将都被360SE获取。
扣扣保镖QGuard.dll拦截程序,发现QQ IM启动的程序为腾讯的浏览器(TTraveler.exe和QQBrowser.exe),且Config.ini文件内容中有DisableBrowser=1,则将QQ IM启动的浏览器自动替换为360的浏览器。
除此之外,通过最后一行Call InitComponent读取位于%AppData%的配置文件UserConfig.ini中的component项是否有指定名称的镜像名,如果发现也将替换为360的浏览器。
隐藏功能四:激活后欺骗用户对QQ软件进行备份(并可做恢复操作)
该隐藏功能影响域:
该隐藏功能激活后,将根据360投送的Config.ini里配置的参数引导用户备份QQ软件到360指定目录,并可通过扣扣保镖进行恢复。
在config.ini里填入以上内容,在启动QQ时会出现以下对话框
在这里可以禁用QQ的自动更新功能。备份按钮会将QQ的全部数据备份到360的
配置目录。如下图:
相关代码如下:
分析总结:
由于360扣扣保镖的这4个隐藏功能针对性极强(针对QQ软件)并具有:
1、在不被用户知情的情况下进行破坏其它软件正常运行的流氓软件特性。
2、绕开用户控制隐蔽触发的后门功能特性。
3、注入其它进程,修改其正常功能运行方式的外挂特性。
而这些技术手段通常只在木马、后门、病毒这类恶意软件上见到,在一款“以安全为名”的软件上出现并针对正常软件使用是极为罕见的。这也可以很好地理解为什么360让它如此短命,腾讯为什么如此愤怒。
附:
从百度百科中查出一些公众认知的定义:
外挂:外挂一般是指在电脑运行中,一个程序通过某种事件触发而得以挂接到另外一个程序的空间里(常用的触发事件有键盘触发,鼠标触发,消息触发等),挂接的目的通常是想改变被挂接程序的运行方式。
后门功能:指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的方法。
流氓软件新发展:新的流氓软件可能并没有捆绑插件,新的流氓行为包括故意妨碍其他同类软件的使用,新的流氓行为包括把自己的流氓行为说成是BUG或者好功能,以此来掩盖自己肮脏的目的,新的流氓都精通心理学,把用户的心理研究的透透彻彻,并利用这种心理来做利于自己的事情。
瑞星还联合监网诬陷竞争对手呢?
czgm 发表于 2010-11-5 13:58 
360的后门程序代码都公布出来了,还嘴硬。:D
360的后门程序代码都公布出来了,还嘴硬。:D
太精彩啦。各大流氓轮番上阵挑战下限啊。
自动屏蔽QQ升级
-----------------------------------------------------------------
我靠,看来我用了扣扣保镖后的什么升级都是我眼花了
-----------------------------------------------------------------
我靠,看来我用了扣扣保镖后的什么升级都是我眼花了
大家忘记瑞星和360互相掐的事情了?好象过去也不久嘛。
瑞星对360落井下石是正常的,要是出来挺360才是怪事呢!
瑞星对360落井下石是正常的,要是出来挺360才是怪事呢!
哈哈,幸好我没有用什么扣扣保镖,根本就是流氓软件啊
cutter 发表于 2010-11-5 14:00
说实话,凭360的风格,做这么正派真很少见。
都是恶老大逼的,让流氓改邪归正了。
说实话,凭360的风格,做这么正派真很少见。
都是恶老大逼的,让流氓改邪归正了。
百度王 发表于 2010-11-5 14:07
就是,360的后门居然只开了这么几个,实在是难得哦。
就是,360的后门居然只开了这么几个,实在是难得哦。
瑞星又是什么好鸟? 这样狗咬狗,最终只能让国产软件集体沦落,如此而已。
我觉得360就是恶意的攻击腾讯呢,也许是看人家做的火吧
看来这个360是用不得了啊,什么烂扣扣保镖啊,一点都不好用
哟,两位列兵同志注册够久的嘛
回复 5# 王应许
这个只是留的后门.
现在是允许你升级的,如果过一段时间它脑袋突然发热不想允许你升级了,只需要在配置文件里写几行字就可以了.否则就叫前门不叫后门了。:D
这个只是留的后门.
现在是允许你升级的,如果过一段时间它脑袋突然发热不想允许你升级了,只需要在配置文件里写几行字就可以了.否则就叫前门不叫后门了。:D
谁认定的?
当初瑞星被司法认定恶意打压陷害微点。不是也栽赃微点开设后门植入木马么?现在还来这套?
感觉麻花的员工洗地不遗余力啊。
主帅无能累死三军吧。
惊现公关公司的马甲。两个发帖很少的ID只隔了一天注册,太明显了。
反正那个QGuard.dll 大家都能拿到, 不信的话自个分析一下就完了.
没一个上得了台面的
瑞星的不叫证据
叫谣言
离上法庭作证的证据差8万里。
叫谣言
离上法庭作证的证据差8万里。
国家检测结果出来了
瑞星能搞个屁,它里面有本事的都赶走。
可突然精神错乱拔枪打死人
……;P
……;P
czgm 发表于 2010-11-13 12:04
是呀 谁的法律效力大,这个就出来了的嘛。
是呀 谁的法律效力大,这个就出来了的嘛。
超超达达 发表于 2010-11-5 14:06
你专门注册个号来顶QQ?
你专门注册个号来顶QQ?
侠客尚 发表于 2010-11-5 15:17
+1。
+1。
瑞星 好像这次又被国家打脸了。
我觉得麻花迟早要收购瑞星或者金山的杀毒部门。
我觉得麻花迟早要收购瑞星或者金山的杀毒部门。
我只是感觉今年腾讯和360的网络公关费肯定大涨特涨。各大论坛一大片一大片双方的水军
lijiezoe 发表于 2010-11-13 20:48
麻花可舍不得花这个钱。他们都是自己员工当临时客服。
要不他也不会丢哪个3000块的脸。呵呵呵呵呵。
麻花可舍不得花这个钱。他们都是自己员工当临时客服。
要不他也不会丢哪个3000块的脸。呵呵呵呵呵。
瑞星不是娱乐公司么?
精彩
用过几年瑞星,现在一直用360,BS对竞争对手的污陷
流氓混战
黑老大出面劝和
黑老大出面劝和
看来国家信息安全中心没瑞星权威!
挺瑞星和腾讯的都是列兵哦?呵呵呵……
zetaplus 发表于 2010-11-14 20:48
很有喜感。
很有喜感。