好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 1062807258wang 于 2019-9-29 09:21 编辑
在https://www.52pojie.cn/forum.php?mod=viewthread&tid=818213&fromguid=hot和https://www.52pojie.cn/thread-897069-1-1.html下的qq防撤回补丁QQ9.0.X,QQ9.1.X版。两个版本具有相同的异常行为。如下所示:
时间 操作 说明 次数
2019-07-25 20:56:55 [自动阻止] 创建BITS任务 防护 11 次
动作:创建BITS任务
风险文件:D:\QQ\BIN\IM.DLL
2019-07-25 10:08:32 [自动阻止] 修改 驱动/服务 防护 1 次
详细描述:
注册表位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\SERVICES\QPCORE\[Start]
注册表内容:2
风险文件:D:\QQ\BIN\IM.DLL
2019-07-24 14:26:31 [自动阻止] 修改 QQ文件 防护 6 次
详细描述:
进程:C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\TENCENT\QQ\AUTEMP\2067933328\NEWUPD\TXUPD.EXE
动作:试图修改
路径:D:\qq\txupd.exe
不再提醒(0x5d37fa17)
2019-07-24 14:26:04 [自动阻止] 修改 文件关联 防护 1 次
详细描述:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\LNKFILE\SHELLEX\CONTEXTMENUHANDLERS\QQSHELLEXT
注册表内容:
进程:C:\Windows\System32\regsvr32.exe
父进程:C:\Windows\SysWOW64\regsvr32.exe , (0)
时间 操作 说明 次数
2019-07-24 14:26:04 [已阻止] 修改 文件关联 防护 1 次
详细描述:
注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\LNKFILE\SHELLEX\CONTEXTMENUHANDLERS\QQSHELLEXT
注册表内容:
进程:C:\Windows\SysWOW64\regsvr32.exe
父进程:D:\QQ\BIN\QQEXTERNAL.EXE , (103)
风险文件:D:\QQ\BIN\IM.DLL
不再提醒(0x5d37f9fc)
风险文件:D:\QQ\BIN\IM.DLL
不再提醒(0x5d37f9fc)
2019-07-24 14:25:07 [已阻止] 修改 系统运行的重要文件 防护 1 次
详细描述:
进程:C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\TENCENT\QQ\TEMP\QQSAFEUD.EXE
动作:重命名
路径:C:\Users\Administrator\AppData\Roaming\Tencent\QQ\SafeBase\tssafeedit.dat.bak
风险文件:D:\QQ\BIN\IM.DLL
不再提醒(0x5d37f9c3)
2019-07-24 14:24:49 [自动阻止] 修改 QQ文件 防护 11 次
详细描述:
进程:C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\TENCENT\QQ\TEMP\QQSAFEUD.EXE
动作:试图修改
路径:C:\Users\Administrator\AppData\Roaming\Tencent\QQ\SafeBase\TSSafeEdit.dat
不再提醒(0x5d37f9b1)
2019-07-24 14:24:43 [自动阻止] 修改 QQ文件 防护 5 次
详细描述:
进程:D:\QQ\BIN\QQ.EXE
动作:试图修改
路径:C:\Users\Administrator\AppData\Roaming\Tencent\QQ\SafeBase\TSSafeEdit.dat
不再提醒(0x5d37f9ab)
2019-07-24 14:24:23 [自动阻止] 修改 QQ文件 防护 11 次
详细描述:
进程:C:\USERS\ADMINISTRATOR\APPDATA\ROAMING\TENCENT\QQ\TEMP\QQSAFEUD.EXE
动作:试图修改
路径:C:\Users\Administrator\AppData\Roaming\Tencent\QQ\SafeBase\TSSafeEdit.dat
不再提醒(0x5d37f997)
风险文件:D:\QQ\BIN\IM.DLL
2019-07-24 14:24:20 [自动阻止] 修改 QQ文件 防护 5 次
详细描述:
进程:D:\QQ\BIN\QQ.EXE
动作:试图修改
路径:C:\Users\Administrator\AppData\Roaming\Tencent\QQ\SafeBase\TSSafeEdit.dat
不再提醒(0x5d37f994)
修改qqprotect驱动,修改TSSafeEdit.dat文件(https://www.52pojie.cn/thread-288289-1-1.html,https://www.win7qjb.com/news/1338.html)。修改后打开QQ会有qqedit的窗口弹出且无法关闭。自己修改的补丁没有这些异常。也有可能是数字签名被破坏而不被杀软信任。
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2019-7-24 17:12
|
发表于 2019-7-24 18:13
就这样会盗号?
