qq空间登录网页版(qq网页版登录官网登录)

一:特洛伊木马概述

30安全中心最近收到用户反馈。下载安装某软件后，浏览器首页被强行篡改，无法修改成用户想要的首页。提取相关文件后，我们发现这是CEIDPageLock的新变种，我们将其命名为CEIDPageLock2。该木马不仅篡改用户主页，还恶意盗用用户QQ Key空转发各种推广信息。据初步统计，目前至少有数万用户中毒。

二:木马分析

特洛伊木马来自一些带有数字签名的软件。

MD5:71 da 18 a5 cd8e 594 eacd 90654 a5 E0 c6b 3

文件信息

下载器创建广告木马MD5:

6 fddc 26 c 19 b 5b 300 a7d 5903 aecc 1894

木马是用易语言写的，被易语言自带的花指令搞糊涂了。木马由云端控制，入侵用户机器后，调用QQ Talk接口发送广告。

木马开始访问http://107.150.51.202/51la/51.html网页，统计木马启动次数；

然后访问http://69.30.242.182/img/logwk.txt 获取标记然后访问http://69.30.242.182/img/logwk.txt获得标志。

如果返回错误，下载三个特洛伊木马程序来执行:

http://69.30.242.182/imgwk/xls.jpghttp://69.30.242.182/imgwk/xls.jpg

MD5:b 583 c 6 D1 e 133410938 CFC 185 baea 7945

特洛伊木马的短暂行为:

通过傀儡进程将木马写入CMD.exe进程，获取本地QQ信息，从http://69.197.191.92/txt/hy.txt获取木马推广QQ进行添加，并转载添加的木马QQ空中的广告信息进行转发推广。

http://69.30.242.182/imgwk/doc.jpghttp://69.30.242.182/imgwk/doc.jpg

MD5:86 F9 D8 b 955 EC 9 b 9 a 58 abf 22 aae 3d 6 e 52

特洛伊木马的短暂行为:

通过傀儡进程，将木马写入iexpress.exe进程，释放C:\Windows\temp\kcbhgyd.sys并加载驱动修改主页。

驱动文件是我们前面分析过的CEIDPageLock。

篡改浏览器列表:

篡改用户主页是:

篡改用户主页是:

http://69.30.242.182/imgwk/ppt.jpghttp://69.30.242.182/imgwk/ppt.jpg

该文件无法下载，但在同一个目录中有一个ppt2.jpg文件。我怀疑作者可能不想推广，改名了。我们还是来看看ppt2.jpg的行为。

MD5:dcfa 785905 cdaa 6 DCD 668 c 998 c 08 bebf

特洛伊木马的短暂行为:

木马通过http://www.0311bj.cn/packet/ISnapshot_4020_1_2018.exe.直接下载、安装、推广一款名为“小牛截图”的流氓软件

访问http://www.ip138.com/ips138.asp获取用户IP和用户MAC地址，为木马管理用户信息做准备。

拼接获取的用户信息，发送打点请求:

完成点循环访问QQ开放接口，检查机器上是否启动了QQ。

如果您已启动QQ，请获取QQSkey(相当于QQ密码)并访问http://69.197.191.90:82/获取广告代码信息:

调用QQ Talk接口，通过获取的QQSkey发送上述广告内容。

广告内容截图:

三:安全提醒

建议用户尽量不要下载来历不明的软件，不要相信木马提示退出安全防护，然后发现木马提示立即清理。

此外，360安全卫士针对恶意篡改主页推出了主页修复功能，可以完美解决各类主页被篡改的问题。