首页 安全快讯 正文

腾讯QQ升级程序存在漏洞 被利用植入后门病毒

【快讯】近日,火绒安全团队根据用户反馈,发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可利用该漏洞下发任意恶意代码。截止到目前,最新版QQ(包括TIM、QQ、QQ轻聊版、QQ国际版等等)都存在该漏洞。病毒分析火绒近日截获,有黑客正在利用QQ升级程序漏洞进行病毒传播。受害终端网络在被恶意劫持的情况下,黑客可以下发任意恶意代码到本地执行,受到该漏洞影

【快讯】近日,火绒安全团队根据用户反馈,发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可利用该漏洞下发任意恶意代码。截止到目前,最新版QQ(包括TIM、QQ、QQ轻聊版、QQ国际版等等)都存在该漏洞。


病毒分析
火绒近日截获,有黑客正在利用QQ升级程序漏洞进行病毒传播。受害终端网络在被恶意劫持的情况下,黑客可以下发任意恶意代码到本地执行,受到该漏洞影响的QQ软件版本包括:TIM、QQ、QQ轻聊版、QQ国际版等。本次漏洞攻击事件中所使用QQ升级逻辑漏洞早在2015就被公开披露过,QQ升级程序也就当时报出的漏洞进行了修补,但升级代码中依然存在逻辑漏洞。

腾讯QQ升级程序存在漏洞 被利用植入后门病毒 安全快讯 漏洞事件 安全快讯  第1张

后门程序和腾讯升级程序进程关系

腾讯QQ升级程序存在漏洞 被利用植入后门病毒 安全快讯 漏洞事件 安全快讯  第2张

漏洞利用现场

腾讯QQ升级程序存在漏洞 被利用植入后门病毒 安全快讯 漏洞事件 安全快讯  第3张

网络数据

腾讯QQ升级程序存在漏洞 被利用植入后门病毒 安全快讯 漏洞事件 安全快讯  第4张

请求数据内容

腾讯QQ升级程序存在漏洞 被利用植入后门病毒 安全快讯 漏洞事件 安全快讯  第5张

被劫持后返回的数据

QQ升级模块分析

升级程序主要逻辑是:首先将本地QQ软件信息发送到QQ升级服务器,之后根据服务器返回的XML数据下载更新txupd.exe。在早期版本QQ升级程序中,由于下发升级XML数据校验代码中存在漏洞,在2015年版本中已经进行了相应修补,但修复后的升级程序中依然存在逻辑漏洞。QQ升级程序中仅有一处升级内容校验,校验完成后,会下载指定网址中的压缩包,之后验证压缩包MD5,解压执行压缩包中的txupd.exe。相关代码,如下图所示:

腾讯QQ升级程序存在漏洞 被利用植入后门病毒 安全快讯 漏洞事件 安全快讯  第6张

文件有效性校验


腾讯QQ升级程序存在漏洞 被利用植入后门病毒 安全快讯 漏洞事件 安全快讯  第7张

被修复的漏洞代码

被下发的病毒模块

解压包qq.zip中存放有病毒程序“txupd.exe”,图标是MFC默认图标,和腾讯升级程序图标有明显不同,经火绒工程师分析,该病毒为后门病毒,会收集用户计算机名称、账户名称、处理器信息、系统版本、MAC地址等信息上传到C&C服务器作为主机标识,且具备抓取屏幕截图、执行远程命令等功能。


腾讯QQ升级程序存在漏洞 被利用植入后门病毒 安全快讯 漏洞事件 安全快讯  第8张

后门病毒行为

腾讯QQ升级程序存在漏洞 被利用植入后门病毒 安全快讯 漏洞事件 安全快讯  第9张

截取屏幕


3. 执行远程命令的功能,相关代码如下图所示:
 

腾讯QQ升级程序存在漏洞 被利用植入后门病毒 安全快讯 漏洞事件 安全快讯  第10张

执行远程命令

本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1510.html

相关推荐

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持