腾讯QQ升级程序存漏洞,被利用植入后门病毒
近日,火绒安全团队根据用户反馈,发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可利用该漏洞下发任意恶意代码。火绒近日截获,有黑客正在利用QQ升级程序漏洞进行病毒传播。在早期版本QQ升级程序中,由于下发升级XML数据校验代码中存在漏洞,在2015年版本中已经进行了相应修补,但修复后的升级程序中依然存在逻辑漏洞。被修复的漏洞代码被下发的病毒模块解压包qq.
近日,火绒安全团队根据用户反馈,发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可利用该漏洞下发任意恶意代码。截止到目前,最新版QQ(包括TIM、QQ、QQ轻聊版、QQ国际版等等)都存在该漏洞。
经分析,该事件中被利用的升级漏洞曾在2015年就被公开披露过,之后腾讯对该漏洞进行修复并增加了校验逻辑。但从目前来看,QQ此处升级逻辑仍存在逻辑漏洞。
另外,在排除本地劫持的可能后(LSP、驱动劫持等等),火绒工程师推测可能是运营商劫持或路由器劫持。通过和用户沟通,得知用户曾刷过第三方路由器固件,所以不排除路由器被劫持的可能性,具体劫持的技术分析仍有待后续跟进,火绒安全团队会持续对此次攻击事件进行跟踪分析。
由于QQ软件用户群过大,遂漏洞具体细节不便透露。火绒敦促腾讯QQ团队加紧修复,避免问题扩大后门病毒,如果需要漏洞相关细节,请随时与火绒联系,火绒可向腾讯QQ团队提供详细细节及分析内容。
分析报告
火绒近日截获,有黑客正在利用QQ升级程序漏洞进行病毒传播。受害终端网络在被恶意劫持的情况下,黑客可以下发任意恶意代码到本地执行,受到该漏洞影响的QQ软件版本包括:TIM、QQ、QQ轻聊版、QQ国际版等。本次漏洞攻击事件中所使用QQ升级逻辑漏洞早在2015就被公开披露过,QQ升级程序也就当时报出的漏洞进行了修补,但升级代码中依然存在逻辑漏洞。火绒在被劫持现场中发现,QQ升级程序在发送升级请求后,会下载执行名为“txudp.exe”的病毒程序。QQ升级网址被劫持后,下载执行病毒程序。如下图所示:
后门程序和腾讯升级程序进程关系我们在实验室环境复现了劫持现场,漏洞利用情况如下图所示:
漏洞利用现场被黑客劫持后,升级相关的网络请求数据,如下图所示:
网络数据“txudp.exe”程序会向(IP”61.129.7.17“,百度检索该IP是上海市深圳市腾讯计算机系统有限公司电信节点)服务器POST数据请求更新,POST的XML数据如下:
请求数据内容POST的数据没有问题,但是在网络数据中可以看到一个伪造的回应数据包,该回应包数据包含一个二进制头,在二进制头之后依次是:更新的ZIP包下载地址,ZIP包的MD5校验值,ZIP包大小。数据如下:
被劫持后返回的数据图中URL (IP:180.101.49.11)下载的是病毒压缩包“qq.zip”,该压缩包会被下载到用户计算机临时目录,之后解压运行名为“txudp.exe”的病毒程序。 需要说明的是,该URL“ ”事实上是无效地址,但在被劫持的现场中,对该地址的HTTP GET请求会收到相应的响应包,并且会下载到包含病毒的qq.zip压缩包。另外,在排除本地劫持的可能后(LSP、驱动劫持等等),火绒工程师推测可能是运营商劫持或路由器劫持。通过和用户沟通,得知用户曾刷过第三方路由器固件,所以不排除路由器被劫持的可能性后门病毒,具体劫持的技术分析仍有待后续跟进,火绒安全团队会持续对此次攻击事件进行跟踪分析。QQ升级模块分析升级程序主要逻辑是:首先将本地QQ软件信息发送到QQ升级服务器,之后根据服务器返回的XML数据下载更新txupd.exe。在早期版本QQ升级程序中,由于下发升级XML数据校验代码中存在漏洞,在2015年版本中已经进行了相应修补,但修复后的升级程序中依然存在逻辑漏洞。QQ升级程序中仅有一处升级内容校验,校验完成后,会下载指定网址中的压缩包,之后验证压缩包MD5,解压执行压缩包中的txupd.exe。相关代码,如下图所示:
文件有效性校验被修复的漏洞校验代码,如下图所示:
被修复的漏洞代码被下发的病毒模块解压包qq.zip中存放有病毒程序“txupd.exe”,图标是MFC默认图标,和腾讯升级程序图标有明显不同,经火绒工程师分析,该病毒为后门病毒,会收集用户计算机名称、账户名称、处理器信息、系统版本、MAC地址等信息上传到C&C服务器作为主机标识,且具备抓取屏幕截图、执行远程命令等功能。使用火绒剑监控下载到的病毒程序“txupd.exe”会向多个C&C服务器(111.122.86.7、111.120.23.23等)回传获得的用户数据,如下图所示:
后门病毒行为该后门主要功能代码如下:1.收集用户计算机基础信息,相关代码如下图所示:
数据收集2.截取用户计算机屏幕功能,相关代码如下图所示:
截取屏幕3.执行远程命令的功能,相关代码如下图所示:
执行远程命令
原创文章,作者:admin,如若转载,请注明出处:https://top.d1.net.cn/pinpai/71059/
相关推荐
-
引产3个月香港验血男女选择哪家化验所好?(孕期不呕吐怀男孩)
引产3个月香港验血男女选择哪家化验所好?香港验血检测宝宝的性别实属当今最准确最先进的检测宝宝性别的办法了,许多的准妈妈们都前去香港进行验血检测,提早的知道了自己宝宝的性别,而且最后…
-
香港无创dna检查报告单>验血要怀孕多少周才可以去!
香港无创dna检查报告单_验血要怀孕多少周才可以去!现在大家都知道检测性别技术香港验血都说好,那么好在什么地方呢。好的地方是有很多,最主要的是准确,给出的结果需要等我时间也短,需要…
-
香港大z验血_香港验血y是男孩
香港验血半年前流过产,准确率高吗关于胎儿的的性别我想是每个作为怀孕宝妈最为关心的一个问题,尽早知道宝宝性别是几乎每个宝妈的共同心声。而在这众多的检测手段中最为突出也是最受欢迎的技术…
2022-02-01 -
香港抽血鉴定胎儿性别多久出结果_验男女真的会翻盘吗??
▋来源:【10年无一错例】【香港唯一该行业连续五年优秀医疗诚信机构】-香港化验所总会联合单位|醫務化驗委員會成员,权威顾问,快速在线咨询,为您提供专业、可靠、及时的一对一7*24小…
2022-06-15 -
堕胎后超度会知道男女吗(香港验血男和出生的一样吗)
香港查男女费用_验血查男女需要多少钱!吃现在最全面的技术也就是最好的技术要属香港的验血识性别血液技术了。那么很多人都不太理解这项技术的含义,想知道那个血液里是不是有Y就能算是代表为…
-
香港验血查邮寄不准的(怎么知道女孩是不是对我男女意思)
香港可不可以查男女_七周验血测男女到底准不准!以前的人判断胎儿的性别只能够通过各种传统方法来预测宝宝的性别,我们都知道,这些方法都是没有科学依据的,只是通过经验来判断的,所以并不科…
-
怀孕4周香港抽血验男女准确吗.有没有门路介绍一下(香港时代基因验血有不准的吗)
在当今社会上,B超是各大医院使用最为频繁的手段,那么是否就可以说B超对人体是没有危害的呢? 在经过长期以往的经验所得,我们对此有着一些深刻的了解,通常来说医院的B超在清晰度方面、分…
-
验血可以查出男孩女孩?宝妈亲身经历告诉你真相
验血可以查出男孩女孩?宝妈亲身经历告诉你真相怀上宝宝,对于有的孕妈妈则是全家庭的一件大喜事,然而对于一些不小心怀上宝宝的则是一件没必要出现发生的事情。所以女性怀孕以后的初期阶段都会…
2022-04-29 -
香港怀孕五个月查男女,真实感受与经历
身为江西人有时候真的觉得好无奈,江西这边重男轻女观念很严重,而且有一些地方很喜欢相互攀比,既认为女儿没用,但是嫁女儿时又要收很多礼金,觉得如果不多收一些礼金,村里的人都会看笑话的。…
2022-07-27 -
香港验血真伪查询?亲身经历告诉你真相
香港验血真伪查询?亲身经历告诉你真相很多怀孕妈妈都想知道自己孩子的性别,所以就会想这了解香港的Y-DNA检测性别技术,这样大家才可以放心检测,所以下面就会有很多问题想了解一下,我给…
2022-03-17