QQProtect.exe文件属性
火绒拦截日志,如下图所示:
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
火绒拦截日志
第一组推广程序,由QQProtect.exe进程触发,调用QQUpdPlugin.dll下载远程xml推广数据,远程请求到的xml数据可以“云控”推广内容。xml数据如下图所示:
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
xml推广数据
获取到xml数据之后,程序会根据红框中所示的downloadfile标签url属性将最终的推广弹窗程序下载到” %temp%\dlqltps.exe”目录中进行执行,该程序注入explorer后,用explorer进程启动vfsti.exe弹出诱导推广弹窗。行为如下图所示:
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
推广行为
第二组推广程序,推广流程更加复杂且更为隐蔽。推广流程还是由QQProtect.exe进程触发,首先会下载执行“MOXD1218.EXE”(简称为MOXD程序),在该程序的资源中包含有一个可执行程序(XFIXER.exe)和两个动态库(qfaydtc.dll和dzor.dll)。
文件资源,如下图所示:
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
文件资源
代码如下图所示:
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
资源释放相关代码
XFIXER.exe会被注册成COM接口,MOXD程序调用COM接口后,会由svchost进程启动资源中包含的可执行程序XFIXER.exe。调用代码如下图所示:
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
相关逻辑代码
在执行完COM接口调用之后,MOXD程序会尝试删除之前注册的COM接口注册表项和自身文件。代码如下图所示:
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
相关逻辑代码
该程序启动后会调用qfaydtc.dll动态库,解析“云控”xml推广数据后,最终下载执行推广弹窗程序。虽然推广弹窗程序下载至本地后的文件名近期进行过更改(开始为“TESSFE.EXE”后来变为“MODULE11.exe”),但是推广弹窗程序逻辑未出现变动。xml推广数据,如下图所示:
火绒称腾讯qq存在功能越位行为 并进行了报毒拦截
xml推广数据
如果用户点击弹窗中的关闭按钮后,MODULE11.exe程序会被重命名为“.tmp”后缀的文件。如下图中的9.tmp、A.tmp和B.tmp:
营业执照公示信息