QQ群共享出現(xiàn)“女神沐浴照”？實(shí)為蠕蟲病毒作怪

近期，不少網(wǎng)友發(fā)現(xiàn)QQ群共享出現(xiàn)名為“女神沐浴照(真情版).rar”的文件。據(jù)360互聯(lián)網(wǎng)安全中心檢測，這其實(shí)是由QQ群蠕蟲自動發(fā)布的病毒傳播地址，網(wǎng)友們對此應(yīng)提高警惕。

該蠕蟲利用“90后女神視頻”誘導(dǎo)下載，并欺騙用戶關(guān)閉360安全衛(wèi)士，“否則無法觀看”。而一旦有網(wǎng)民中招，不光自己電腦遭殃，被安裝大量流氓推廣軟件，蠕蟲還會把病毒鏈接上傳到受害者所有的QQ群共享內(nèi)，使蠕蟲大面積流行擴(kuò)散。用戶如果正常開啟360安全軟件防護(hù)，可以攔截并查殺此類QQ群蠕蟲。

QQ群蠕蟲分析

傳播源：http://tdzxian.com/

當(dāng)用戶點(diǎn)擊下載后，會在地址：http://2014518.b.xundisk.net/處下載一個名稱為：美女資源共享室-【必看說明】.rar的壓縮包

解壓后：

其中有兩個可執(zhí)行文件，一個是七喜視頻社區(qū)的推廣包，該類推廣包可以為蠕蟲作者帶來每單0.6元的收益：

另外一個“破解補(bǔ)丁”，實(shí)際是軟件流氓推廣下載者，在該解壓包中有一份txt的說明文檔，誘導(dǎo)用戶安裝注冊girlshow客戶端。此外，由于“破解補(bǔ)丁.exe”會被360攔截，這份說明文檔還誘導(dǎo)用戶選擇放行。

破解補(bǔ)丁.exe分析

即從2014518.b.xundisk.net下載Server.exe以及7007.exe，以及一個名稱為“女神沐浴照(真情版)”的壓縮包，保存到本地C盤根目錄下并啟動執(zhí)行。

7007.exe分析

7007.exe是具有傳播性的QQ群蠕蟲，它會做兩件事，第一是將“女神沐浴照(真情版).rar”上傳到受害者所有的QQ群共享;第二是在受害者的QQ空間里發(fā)表一條說說，其目的同樣是傳播蠕蟲病毒。

蠕蟲上傳文件到QQ群共享的實(shí)現(xiàn)過程如下:

1、訪問：http://xui.ptlogin2.qq.com/cgi-bin/qlogin，成功后獲取Cookie。

360安全衛(wèi)士可以將其攔截：

2、從Cookie中提取Skey參數(shù)

3、從Skey中按照如下算法得到g_tk參數(shù)

INT Hash = 5381;

for (INT i=0;i<skey.getlength();i++)< p="">

{

Hash += (Hash<<5)+(INT)Skey.GetAt(i);

}

DWORD g_tk = Hash&0x7FFFFFFF;

4、訪問：http://qun.qzone.qq.com/cgi-bin/get_group_list?，獲取群列表

5、訪問：http://qun.qzone.qq.com/cgi-bin/group_share_list?uin=，獲取群里共享的文件列表。

6、訪問：http://qun.qzone.qq.com/cgi-bin/group_share_upload?g_tk=，

開始上傳文件到群空間，這一步360同樣也會攔截：

7、上傳成功后，還要回傳信息到病毒作者的服務(wù)器?；貍鞑糠?jǐn)?shù)據(jù)如下：

回傳地址為http://113.142.13.69:8080/ftn_handler/?ver=12345&ukey=

這一步操作同樣會被360攔截：

蠕蟲上傳到群共享的rar解壓后，有用的文件只有一個：

用戶打開這個URL快捷方式后，會打開“90后女神”視頻下載的蠕蟲病毒傳播源。

蠕蟲發(fā)送說說到空間的過程與上傳QQ群共享比較類似，只是最后訪問的接口不一樣，說說接口為：taotao.qq.com/cgi-bin/ emotion_cgi_publish_shuoshuo_v6??g_tk=

接下來去看看在Q說說上發(fā)表的說說中提到的百度云盤上存儲的文件http://pan.baidu.com/s/1c0d3KWS

解壓后如下：

空間裝扮這個EXE功能

唯一的功能是從http://2014518.b.xundisk.net下載1000.exe到本地執(zhí)行

1000.exe的功能

類似于一個軟件安裝器，下載大量的推廣軟件到用戶的機(jī)器中