吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 29873|回复: 130
收起左侧

[PC样本分析] 腾讯QQ升级程序存在漏洞 被利用植入后门病毒

    [复制链接]
火绒安全实验室 发表于 2019-8-18 21:36
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 此生长唸 于 2019-8-23 10:46 编辑

【快讯】近日,火绒安全团队根据用户反馈,发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可利用该漏洞下发任意恶意代码。截止到目前,最新版QQ(包括TIM、QQ、QQ轻聊版、QQ国际版等等)都存在该漏洞。

经分析,该事件中被利用的升级漏洞曾在2015年就被公开披露过(https://www.secpulse.com/archives/29912.html),之后腾讯对该漏洞进行修复并增加了校验逻辑。但从目前来看,QQ此处升级逻辑仍存在逻辑漏洞。

另外,在排除本地劫持的可能后(LSP、驱动劫持等等),火绒工程师推测可能是运营商劫持或路由器劫持。通过和用户沟通,得知用户曾刷过第三方路由器固件,所以不排除路由器被劫持的可能性,具体劫持的技术分析仍有待后续跟进,火绒安全团队会持续对此次攻击事件进行跟踪分析。

由于QQ软件用户群过大,遂漏洞具体细节不便透露。火绒敦促腾讯QQ团队加紧修复,避免问题扩大,如果需要漏洞相关细节,请随时与火绒联系,火绒可向腾讯QQ团队提供详细细节及分析内容。
 
附【分析报告】:


病毒分析

火绒近日截获,有黑客正在利用QQ升级程序漏洞进行病毒传播。受害终端网络在被恶意劫持的情况下,黑客可以下发任意恶意代码到本地执行,受到该漏洞影响的QQ软件版本包括:TIM、QQ、QQ轻聊版、QQ国际版等。本次漏洞攻击事件中所使用QQ升级逻辑漏洞早在2015就被公开披露过,QQ升级程序也就当时报出的漏洞进行了修补,但升级代码中依然存在逻辑漏洞。
火绒在被劫持现场中发现,QQ升级程序在发送升级请求后,会下载执行名为“txupd.exe”的病毒程序。QQ升级网址被劫持后,下载执行病毒程序。如下图所示:

image005.png
后门程序和腾讯升级程序进程关系

我们在实验室环境复现了劫持现场,漏洞利用情况如下图所示:

image006.png
漏洞利用现场

被黑客劫持后,升级相关的网络请求数据,如下图所示:

image007.png
网络数据

“txupd.exe”程序会向http://updatecenter.qq.com/queryselfupdate(IP”61.129.7.17“,百度检索该IP是上海市深圳市腾讯计算机系统有限公司电信节点)服务器POST数据请求更新,POST的XML数据如下:

image008.png
请求数据内容

POST的数据没有问题,但是在网络数据中可以看到一个伪造的回应数据包,该回应包数据包含一个二进制头,在二进制头之后依次是:更新的ZIP包下载地址,ZIP包的MD5校验值,ZIP包大小。数据如下:

image009.png
被劫持后返回的数据

图中URL  www.baidu.com/abcload/qq.zip (IP:180.101.49.11)下载的是病毒压缩包“qq.zip”,该压缩包会被下载到用户计算机临时目录,之后解压运行名为“txupd.exe”的病毒程序。

需要说明的是,该URL“www.baidu.com/abcload/qq.zip ”事实上是无效地址,但在被劫持的现场中,对该地址的HTTP GET请求会收到相应的响应包,并且会下载到包含病毒的qq.zip压缩包。

另外,在排除本地劫持的可能后(LSP、驱动劫持等等),火绒工程师推测可能是运营商劫持或路由器劫持。通过和用户沟通,得知用户曾刷过第三方路由器固件,所以不排除路由器被劫持的可能性,具体劫持的技术分析仍有待后续跟进,火绒安全团队会持续对此次攻击事件进行跟踪分析。


QQ升级模块分析
升级程序主要逻辑是:首先将本地QQ软件信息发送到QQ升级服务器,之后根据服务器返回的XML数据下载更新txupd.exe。在早期版本QQ升级程序中,由于下发升级XML数据校验代码中存在漏洞,在2015年版本中已经进行了相应修补,但修复后的升级程序中依然存在逻辑漏洞。QQ升级程序中仅有一处升级内容校验,校验完成后,会下载指定网址中的压缩包,之后验证压缩包MD5,解压执行压缩包中的txupd.exe。相关代码,如下图所示:

image010.png
文件有效性校验

被修复的漏洞校验代码,如下图所示:

image011.png
被修复的漏洞代码

被下发的病毒模块
解压包qq.zip中存放有病毒程序“txupd.exe”,图标是MFC默认图标,和腾讯升级程序图标有明显不同,经火绒工程师分析,该病毒为后门病毒,会收集用户计算机名称、账户名称、处理器信息、系统版本、MAC地址等信息上传到C&C服务器作为主机标识,且具备抓取屏幕截图、执行远程命令等功能。
使用火绒剑监控下载到的病毒程序“txupd.exe”会向多个C&C服务器(111.122.86.7、111.120.23.23等)回传获得的用户数据,如下图所示:

image012.png
后门病毒行为

该后门主要功能代码如下:

1. 收集用户计算机基础信息,相关代码如下图所示:

image013.png
数据收集

2. 截取用户计算机屏幕功能,相关代码如下图所示:

image014.png
截取屏幕

3. 执行远程命令的功能,相关代码如下图所示:

image015.png
执行远程命令

免费评分

参与人数 60吾爱币 +52 热心值 +50 收起 理由
辰某 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Spareks + 1 + 1 用心讨论,共获提升!
woaiqing77521 + 1 + 1 我很赞同!
墨初- + 1 鼓励转贴优秀软件安全工具和文档!
huangyutong + 1 + 1 热心回复!
annnnnnn + 1 + 1 热心回复!
lunlun118 + 1 + 1 热心回复!
じ曾经の的你 + 1 + 1 用心讨论,共获提升!
wangdalei + 1 我很赞同!
欧皇非皇 + 1 + 1 我很赞同!
fei8255 + 1 + 1 我很赞同!
Tomatoman + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
yjdh3344 + 1 用心讨论,共获提升!
xiaojiang_320 + 1 TX:火绒你真鸡吧事多,这是我自己留的后门,偷用户隐私的,管你吊事?你特.
a774733519 + 1 热心回复!
是板鸭 + 1 用心讨论,共获提升!
yywapj + 1 嘿嘿
纯粹520 + 1 我很赞同!
胖子不懂瘦子乐 + 1 + 1 谢谢@Thanks!
fenderp + 1 + 1 用心讨论,共获提升!
Default-p + 1 + 1 我很赞同!
Zzz~ + 1 + 1 热心回复!
bingtangbing + 1 + 1 鼓励转贴优秀软件安全工具和文档!
KTN德邦 + 1 + 1 有没有可能TX在偷窥我们的信息
xuantoo + 1 + 1 幸好我从来不升级QQ.一个版本用到老死
.·.·. + 1 + 1 可怕……幸亏我电脑QQ早删了……手机QQ不会也有类似问题吧
冰可乐 + 1 腾讯安全管家团队干什么吃的
simulate123 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
二十心云 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
clocks + 1 + 1 很秀的一波操作
1024物语 + 1 谢谢@Thanks!
zhangshilin + 1 + 1 我很赞同!
炫酷网络科技 + 1 + 1 66666
eric9988 + 1 + 1 太秀了吧
itmaple + 1 + 1 谢谢@Thanks!
RO6666 + 1 + 1 我很赞同!
zqguang3708 + 2 + 1 硬核 牛逼
yc小主 + 1 + 1
mm1120 + 1 + 1 用心讨论,共获提升!
17630853996 + 1 我很赞同!
丿风雪舞神々 + 1 + 1 我很赞同!
cyc1307 + 1 + 1 谢谢@Thanks!
z441511709 + 1 TX:火绒你真鸡吧事多,这是我自己留的后门,偷用户隐私的,你特么给我曝光.
六小哥哥 + 1 + 1 热心回复!
枫秋叶下 + 1 热心回复!
神秘人9527 + 1 然而找不到客服跟项目负责人 只能通过发布bug引起重视
zcylw + 1 我很赞同!
Janem + 1 + 1 鼓励转贴优秀软件安全工具和文档!
帅气的小莲 + 1 + 1 用心讨论,共获提升!
l7518597 + 1 + 1 以TX的尿性,不是谁发现他的漏洞就直接把发现者送进去么? 火绒要小心保护自.
rcjshsh + 1 + 1 谢谢@Thanks!
danliangxing + 1 我很赞同!
原创丶小生 + 1 所以选择火绒比选择某讯管家好!
911061873 + 2 + 1 用心讨论,共获提升!
不拍电影不掉泪 + 1 我很赞同!
韬. + 1 + 1 我很赞同!
风轻然雨朦胧 + 1 + 1 卧槽,要不要把qq删了
稣兰 + 1 + 1 用心讨论,共获提升!
liyangyang6661 + 1 鼓励转贴优秀软件安全工具和文档!
无痕567 + 1 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

z441511709 发表于 2019-8-19 12:33
TX:火绒你真鸡吧事多,这是我自己留的后门,偷用户隐私的,你特么给我曝光!

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
依旧_浅笑 + 1 + 1 会说你就多说点,大话筒塞你嘴里

查看全部评分

冥界3大法王 发表于 2019-8-18 21:46
那个狗屎 TX保护的进程就是吃干饭的。
白占内存。。。

点评

那个单独的tp贼卡,最近tx还给qq捆绑进去自家的浏览器,我天天玩lol没办法  详情 回复 发表于 2019-8-20 17:41
92013 发表于 2019-8-18 22:23
火绒 还是比较良心的,比国内某些东西,到处弹广告,乱安装东西就,强制给你装某某桌面,强制装某某浏览器,还有什么开启启动助手 ,真是越来越恶心,早晚会像某播放器一样

免费评分

参与人数 1吾爱币 +1 收起 理由
7lao + 1 使用火绒屏蔽讨厌的弹窗!支持火绒

查看全部评分

wzq123 发表于 2019-8-18 21:50
冥界3大法王 发表于 2019-8-18 21:46
那个狗屎 TX保护的进程就是吃干饭的。
白占内存。。。

从没信过火绒,也从没中过啥毒,一直是系统带的杀软。
FUKLZD 发表于 2019-8-18 23:46
我用火绒还被我舅卸了,装了个360,杀毒,我就说,360自己本身就是病毒。
掌教大老爷 发表于 2019-8-21 10:23
FUKLZD 发表于 2019-8-18 23:46
我用火绒还被我舅卸了,装了个360,杀毒,我就说,360自己本身就是病毒。

告诉你舅啊,360连自己都杀
心有所向 发表于 2019-8-18 22:02
吓得我赶紧安装了一个火绒=。=
佚丶名 发表于 2019-8-18 21:58
用360检测过吗  
暗夜未央 发表于 2019-8-18 21:59
wzq123 发表于 2019-8-18 21:50
从没信过火绒,也从没中过啥毒,一直是系统带的杀软。

这与火绒的杀软有关系么?
lsz7575 发表于 2019-8-18 22:08
冥界3大法王 发表于 2019-8-18 21:46
那个狗屎 TX保护的进程就是吃干饭的。
白占内存。。。

那个是为了干坏事用的..曾经出现过我的steam商店无法打开..然后我关了秋秋就好了..
skrboy 发表于 2019-8-18 22:09
还好我没更新QQ
加葱兄dei 发表于 2019-8-18 22:12
我的火绒安全似乎从来不跳出来?好像不存在一样
转身愤然离去 发表于 2019-8-18 22:12
txupd吧,好像有一个写错了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:33

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表