「四川 成都 火绒 企业版」QQ游戏外挂收集色情文件 火绒提示切勿使用

如题所述

一款名为“QQ游戏智能机器人”的外挂程序，会搜集并回传隐私数据，包括带有色情关键字的文件以及含密码、账号、通信录、笔记等关键字的文件。搜集的文件类型涵盖文档、图片、视频等。火绒安全软件已对该木马程序进行了拦截查杀。

该木马程序制作者通过云控将任意QQ号列入黑名单，并删除大量文件。提供该木马程序下载的网站甚至会误导用户，声称“个别杀软误报本软件，请不要相信，本软件不是病毒木马，运行辅助前请请先退出杀软”。这表明了此类灰色程序软件常携带病毒，威胁用户安全。

游戏玩家的广泛受众引发了从事网络游戏外挂黑产的团队增多，市面上流通的外挂软件种类也持续增加。这类灰色程序软件通常包含病毒，对用户构成威胁。火绒工程师提醒用户谨慎下载不明软件，建议通过正规官网链接下载应用软件，并使用火绒及时查杀。如果必须使用某些不明程序，建议提前开启安全软件进行扫描、查杀，或前往火绒论坛求助，确保文件、程序安全后再运行，以避免遭遇风险。

附：详细分析报告

一、详细分析

近期根据用户反馈，运行“QQ游戏智能机器人”程序后，电脑中出现大量文件被删除的现象。该程序的恶意主页为hxxp:// qqfzn.com。通过分析，发现该模块包含云控上传文件以及删除文件的逻辑。当用户使用该软件时，会根据配置上传指定文件（上传开关暂未开启）。当用户QQ号或点卡卡号在病毒配置的黑名单中时，病毒会遍历磁盘删除用户的文件。

病毒通过从C&C服务器（hxxp:// bseas.com/sm/qb6/k.xml）请求配置，里面包含升级、黑名单、上传文件配置等信息。部分配置文件内容如下图所示。

病毒通过遍历QQ UserDataSavePath目录的方式获得用户机器上登录过的QQ号。如果用户QQ账号或点卡卡号在黑名单中，病毒会遍历磁盘删除文件，除了后缀名为.exe、.dll、.sys、.ini、.txt、.db、.lnk、.log以及配置文件中fileextp字段后缀名的文件。

病毒还会根据上传配置中fileext和fileext2字段，遍历上传扩展名为.doc、.docx、.xls、.xlsx、.ppt、.pptx、.jpg、.txt、.zip、.rar、.mp4、.wmv、.mpeg的文件（且上传文件大小需小于16M）。tryflag字段为尝试上传用户文件的开关，根据火绒现阶段请求结果，该开关暂为关闭状态。

文件上传时，恶意代码会判断文件名中是否带有指定的关键字（yeskey上传文件关键、nokey为禁止上传的关键字）。上传文件控制关键字列表如下图所示。

禁止上传的控制关键字列表如下图所示。

文件上传相关代码逻辑如下图所示。

二、附录

病毒hash

火绒安全软件提供全面的终端安全防护服务，包括病毒查杀、防病毒终端软件、漏洞管理、移动存储管理功能以及终端管控等功能。其产品涵盖Windows、Linux、macOS等多个操作系统平台，满足不同企业的需求。火绒安全软件包括专业版、终端安全管理系统、终端防病毒系统、终端安全管理系统网络版等版本，支持50个Windows客户端全功能版授权许可，同时提供病毒防御、漏洞管理、移动存储管理、终端管控等服务。

温馨提示：内容为网友见解，仅供参考

当前网址：https://aolonic.com/aa/akdwn3w34w4gddwa4ww.html