详细分析报告如下:
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
推广弹窗(1)
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
推广弹窗(2)
据火绒安全团队分析,当用户电脑启动QQ后,会通过名为 “QQ安全防护进程(Q盾)”的保护程序释放病毒“TrojanDownloader/Popeng.a”,随后用户就会收到腾讯的推广弹窗。一旦用户点击,上述软件就会立刻被安装到用户电脑。该程序具有很强的隐蔽性,在整个推广过程中,“TrojanDownloader/Popeng.a”会检测用户电脑中是否安装了 “360安全卫士”,若检测到,推广行为就会终止。此外,“TrojanDownloader/Popeng.a”还能随时接受远程“云控”指令,决定推广软件内容,以及是否继续实施推广。
据“火绒威胁情报系统”监测,该推广行为从今年11月末就已开始,并在持续加大推广力度。
本着对用户负责的宗旨,“火绒安全软件”针对病毒及静默安装的程序进行拦截报毒,不会删除用户下载的原始程序,请广大用户放心。
如上两幅图,分别为QQ推广的两个不同版本弹窗,第二组推广程序疑似为第一组程序的升级版。推广程序升级之后,不光界面进行了更改,推广行为的隐蔽性也有所加强。在推广软件上,第一组推广程序仅用来推广QQ浏览器,而第二组主要推广电脑管家,同时我们也在第二组程序资源中发现了QQ浏览器相关的推广资源(见图(2)红框部分)。第二组程序推广行为,如下图所示:
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
推广行为
进程树如下图所示:
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
推广程序进程树
上述推广行为是由QQProtect.exe程序触发,虽然该程序的文件描述为“QQ安全防护进程(Q盾)”,但是却后台进行弹窗推广。文件属性,如下图所示:
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
营业执照公示信息