来自360safe的分析:腾讯QQ也见不得人

comdin

不知道大家有没有注意到最新版本的QQ 2007 Beta2会在C盘根目录创建"~DTLog.txt"文件,里面包含一些3721等不太干净的字符串,到底是为什么,360safe论坛的技术人员作了详细的技术分析,看来腾讯推广soso工具栏的手段也不是那么干净,一起来看.(以下文段来自MJ0011与yahootw网友):
QQ最近释放的一个文件QQPhoneHelper.dll,名字很好听
不过里面就有一些字符串,用了一个比较复杂的类来加密
看了下,把它们解密了
大家来看看是都是些什么见不得人的东西:


{B83FC273-3522-4CC6-92EC-75CC86678DA4} CnsMin.dll  雅虎助手

{D157330A-9EF3-49F8-9A67-4141AC41ADD4} CndHook.dll  雅虎助手

SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks

//./CnsMinKP   雅虎助手

{406F94F0-504F-4a40-8DFD-58B0666ABEBD} yasbar.dll  雅虎助手

SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects

SOFTWARE/Microsoft/Internet Explorer/Toolbar

{02496EBD-8455-48db-B3C7-5DAC97D9F5A7}  BDSrHook.dll 百度超级搜霸

//./adsrsvc  百度超级搜霸

//./BDGuard 百度超级搜霸


{5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} cdnforie.dll  CNNIC中文上网

//./cdnprot  CNNIC中文上网

//./cdntran CNNIC中文上网

SOFTWARE/CNNIC/CdnClient

{2A0176FE-008B-4706-90F5-BBA532A49731} SNHpr.dll 中搜

//./fad 划词搜索

//./anfad 划词搜索

Uindata

http://scdown.qq.com/download/HelperUpdate.htm 这个QQPhoneHelper.dll的升级配置,可以看到这个升级配置和流氓软件的升级配置文件无异

URLDownloadToFileA
DeleteUrlCacheEntryA
流氓专用函数
yahootw网友的报告:

今天没事用AVG Anti-Spyware 扫了下  突然惊现一个警报  ！ 一个木马  汗  多少年了 没中过木马了  (心情激动十万分~bs自己一下~~~呵呵)！

---------------------------------------------------------
AVG Anti-Spyware - Scan Report
---------------------------------------------------------

+ Created at:    00:28:25  2006-12-15

+ Scan result:   



[688] D:\Tencent\qq\QQPhoneHelper.dll -> Logger.BZub.cv : Cleaned with backup (quarantined).


::Report end

                               
登录/注册后可看大图

QQPhoneHelper.dll这个东东 到底是不是毒呢？还是杀软误报？？搞不懂..呵呵 求高人指点一下！！

分析一下 ~~
安装qq2006之后，会出现如下的情况：

其中含有一个QQPhoneHelper.dll这个文件在系统临时文件夹中生成一个临时文件？这个文件，在QQ退出后，也不会自动删除。
这个临时文件的名字是：~DFD.tmp (或者是随机生成~DF*.tmp)

其内容用Ultraedit查看是：
[QQHelper]
version=1.0.0.26
url=http://scdown.qq.com/download/QQPhoneHelper.dll
setupfile=QQPhoneHelper.dll

把QQPhoneHelper.dll这个文件改名或删除，在启动QQ后，这个文件会由http://scdown.qq.com/download/QQPhoneHelper.dll 自动下载并安装。手法有点像后门~木马自动下载生成 哈哈 ！！！

而对于这个dll，会在c盘根目录创建"~DTLog.txt"文件

查看跟踪了读入读出请求
9576 01:02:23 QQ.exe:1484 OPEN D:\Tencent\qq\QQPhoneHelper.dll SUCCESS Options: Open Access: Execute
29577 01:02:23 QQ.exe:1484 CLOSE D:\Tencent\qq\QQPhoneHelper.dll SUCCESS
29578 01:02:23 QQ.exe:1484 OPEN C:\~DTLog.txt SUCCESS Options: OpenIf Access: All
29579 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
29580 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
29581 01:02:23 QQ.exe:1484 QUERY INFORMATION C:\~DTLog.txt SUCCESS Length: 0
29582 01:02:23 QQ.exe:1484 WRITE C:\~DTLog.txt SUCCESS Offset: 0 Length: 30
29583 01:02:23 QQ.exe:1484 CLOSE C:\~DTLog.txt SUCCESS

用卡巴，诺顿，AVK等等也是报！

beyondpara

看看:)

我兜兜里有糖

360的老板周鸿自己也是个老流氓了,3721,雅虎助手,迅雷等大批流氓软件出自他的公司,现 在倒要从良了,呵呵

我兜兜里有糖

中国互联网业界的规则就是没有最流氓只有更流氓,谁越流氓越挣钱.流氓到处有,中国特别多.hao123现在是个人网站成功的典范了,不服不行,老实人们,守着你们的清高吃糠咽菜去吧,谁叫你们身为人类还出生在中国?

jpg001

qq不干净是肯定的。。不知道它在用户电脑上搜集了多少信息，不过不管谁有了这样的地位都会这么干。。信息就是钱么。。

我兜兜里有糖

大家不要用360了,就用砂哥帖里说的那个avg anti-spyware,有破解的,当之无愧反流氓界老大,配合icesword战无不胜

没有说话

我的卡巴昨天被黑了…

natalya

自己不用360。。。但让别人用。。。
杀软也不用。。。也让别人用。。。:|O| :|O| :|O|

黑洞

MJ0011

这个ID是不是
马甲，编号：0011

mainboard1983

前两天,卡巴被封了
换NOD32

升级太麻烦了,还得用代理

今天又用回KIS了,搜索的一个RAR,里面都是KEY呀

升级后,扫全盘,就有那个东西
不管,全删了

askman_1

还是爱用360,现在好多煽动对360不利,但超过360的好像还没有

6楼说的那个,老得扫描,不是很好用

大长茎

虽然大家都说赛门铁克不好，偶主要看中它大方，升级程序任君使用，不管你是正版还是D版。

我就是360safe和AntiVirus一起用的，偶尔用unlock、windows清理大师、柠檬树等工具。

360好像比卡卡易用一些。

rocklemon

以前用过360safe，后来被病毒给黑了，就没再用了，感觉它是挺强的。
至于腾讯，大家早就知道它是流氓软件了，所以我早就把它卸了，现在都是用miranda上qq

Juan Z

杀软这个东西，有强有弱，今天这个好，明天那个好，还是选择自己觉得最好的～

迷恋你的香水

不是说诺顿杀毒出现问题吗?有人起诉了呀!

花都涩郎

腾迅QQ本来不是什么好东西....但又太多人用了..唉