國內知名第三方反病毒機構瑞星最新發布的技術分析報告證實,扣扣保鏢除了擁有其宣稱的11大類可見功能之外,至少還存在4個隱藏功能,這些功能僅針對QQ,且都具有使用者不可見、不可控制等特性。這些隱藏功能隨時處於活動狀態,並且可由360公司遠端開啟。
昨日,曾有媒體報道扣扣保鏢存在四大後門技術,可以隨時遠端開啟。但360對此矢口否認。如今終於得到來自第三方反病毒機構瑞星鐵一般的證實。 ——QQTN更新扣扣保鏢後門
以下是報告全文:
360扣扣保鏢為何激怒騰訊?
2010年10月29日,360公司在京宣佈,推出一款名為“扣扣保鏢”的安全工具,全面保護QQ使用者的安全。該工具包括防止隱私洩漏、防止木馬盜取QQ賬號以及給QQ加速等功能。360稱,扣扣保鏢預設不修改QQ任何設定,所有功能都必須由使用者主動選擇觸發,並可隨時啟用和恢復。
瑞星研發部門通過對扣扣保鏢(4版本)主要功能實現模組進行分析:發現該軟體除了擁有其宣稱的11大類可見功能之外,至少還存在4個隱藏功能,這些功能僅針對QQ,且都具有使用者不可見、不可控制等特性。這些隱藏功能隨時處於活動狀態,並且可由360公司遠端開啟。
扣扣保鏢4個隱藏功能詳細分析
扣扣保鏢除了介面上的可見功能以外,還存在遮蔽QQ軟體升級、劫持騰訊瀏覽器、遮蔽QQ啟動的特定程序列表、備份並恢復QQ軟體等4個隱藏的功能,它們均由檔案進行開關控制。經分析,該控制檔案在扣扣保鏢安裝包中並沒有提供,安裝後也不會自動生成,只可能由360 “雲伺服器”直接進行遠端投遞(或使用者可以手動生成啟用隱藏功能)。也就是說,使用者對於這些隱藏功能均無法控制,而且不瞭解其啟用和生效情況。
技術細節:
使用者使用扣扣保鏢(4版本)時,它會把自己的主要功能模組通過全域性鉤子方式注入騰訊QQ程序,並攔截QQ程序的系統呼叫ShellExecuteExW和CreateProcessInternalW等,時刻關注檔案(隱藏功能啟用檔案),一旦發現該檔案存在,將根據檔案內容進行相關隱藏功能的啟用動作。
通過對現有的4個隱藏功能程式碼分析,我們可以推測檔案至少存在以下4種開關:
[Main]
DisableUpdate=1 //自動遮蔽QQ升級,導致使用者不知情的情況下QQ軟體無法升級。
DisableBrowser=1 //劫持QQ對瀏覽器的啟動並替換為360”安全”瀏覽器。
Com=<過濾的程序檔名1>;<過濾的程序檔名2>;……
//自動遮蔽QQ啟動指定映象名例表的程序啟動。
enable_repair=1 //開啟備份QQ的引數:是否開啟彈框引導使用者備份QQ軟體
MaxNotifyCount = 50 //開啟備份QQ的引數:最多彈框次數
FirstNotify=1 //開啟備份QQ的引數: QQ啟動後彈框的時間(秒)
|
以下為扣扣保鏢 進行WINDOWS API 攔截及API攔截功能實現的相關程式碼
 |
| |
扣扣保鏢在QQ IM程序中攔截相關係統API後將實時監控QQIM啟動程序動作(使用者不能使用任何功能設定項進行隱藏功能關閉操作)
隱藏功能一:啟用後自動遮蔽QQ軟體升級
該隱藏功能影響域:
該隱藏功能啟用後,QQ的安全元件、QQ本身等軟體都不能正常更新升級(使用者毫不知情,也不會得到任何錯誤提示),QQ軟體將變成一個“死”軟體。
| |
以下為扣扣保鏢在攔截ShellExecuteExW及CreateProcessInternalW後進行的QQ IM啟動升級程序(遮蔽QQ升級)識別及遮蔽升級部分程式碼。
| |
如果發現啟動的是、和並在檔案中DisableUpdate=1則將繞開真實系統呼叫,使QQ升級程序啟動失效。這些操作將對使用者沒有任何提示!
隱藏功能二:啟用後根據指定程序列表進行QQ啟動程式的攔截
該隱藏功能影響域:
該隱藏功能啟用後,將根據360投送的裡指定的程序名進行QQ啟動程式過濾。這將讓360可以非常方便進行可控的QQ啟動程式攔截。
扣扣保鏢還會嘗試讀取位於安裝目錄下360360safe360QGuard下的中Main主鍵下的Com欄位(參照上文所述結構)。由於在預設安裝情況下不存在,在此無法得知具體需要遮蔽的程序,但是通過分析程式碼可以得知此欄位為一個由“;”分割的一個程序列表。扣扣保鏢將攔截此列表中所有檔名相同的程序的啟動。
以下為QQ啟動程式遮蔽列表部分程式碼
| |
以下為:扣扣保鏢遮蔽列表讀取程式碼
| |
除此之外還會在%AppData%的配置檔案中讀取component欄位,其中每一項映象名其後的0和1為程序遮蔽開關。
%AppData%360QGuard內容如下:
[component]
<要阻止的檔名及副檔名>=0|1
隱藏功能三:啟用後對QQ軟體的瀏覽器進行劫持(替換成360瀏覽器)
該功能啟用後,QQ 程序啟動的瀏覽器程序(帶引數瀏覽URL方式)將被替換成啟動360SE來進行瀏覽(裝著360瀏覽器的情況下)。由於該功能是攔截 API實現,所以無論使用者設定的預設瀏覽是什麼,也不論騰訊QQ當前選用哪個瀏覽器都將被劫持成360SE(附:該隱藏功能不單可以劫持,,還能根據升級的配置隨時指定劫持的瀏覽器程序名。)
這樣QQ軟體使用者聊天時帶的所有URL連結的瀏覽量將都被360SE獲取。
扣扣保鏢攔截程式,發現QQ IM啟動的程式為騰訊的瀏覽器(和),且檔案內容中有DisableBrowser=1,則將QQ IM啟動的瀏覽器自動替換為360的瀏覽器。
除此之外,通過最後一行Call InitComponent讀取位於%AppData%的配置檔案中的component項是否有指定名稱的映象名,如果發現也將替換為360的瀏覽器。
隱藏功能四:啟用後欺騙使用者對QQ軟體進行備份(並可做恢復操作)
該隱藏功能影響域:
該隱藏功能啟用後,將根據360投送的裡配置的引數引導使用者備份QQ軟體到360指定目錄,並可通過扣扣保鏢進行恢復。
| |
在裡填入以上內容,在啟動QQ時會出現以下對話方塊。
| |
在這裡可以禁用QQ的自動更新功能。備份按鈕會將QQ的全部資料備份到360的配置目錄。如下圖:
相關程式碼如下:
| |
| |
| |
|
分析總結:
由於360扣扣保鏢的這4個隱藏功能針對性極強(針對QQ軟體)並具有:
1、在不被使用者知情的情況下進行破壞其它軟體正常執行的流氓軟體特性。
2、繞開使用者控制隱蔽觸發的後門功能特性。
3、注入其它程序,修改其正常功能執行方式的外掛特性。
而這些技術手段通常只在木馬、後門、病毒這類惡意軟體上見到,在一款“以安全為名”的軟體上出現並針對正常軟體使用是極為罕見的。這也可以很好地理解為什麼360讓它如此短命,騰訊為什麼如此憤怒。
附:
從百度百科中查出一些公眾認知的定義:
外掛:外掛一般是指在電腦執行中,一個程式通過某種事件觸發而得以掛接到另外一個程式的空間裡(常用的觸發事件有鍵盤觸發,滑鼠觸發,訊息觸發等),掛接的目的通常是想改變被掛接程式的執行方式。
後門功能:指繞過軟體的安全性控制而從比較隱祕的通道獲取對程式或系統訪問權的方法。
流氓軟體新發展:新的流氓軟體可能並沒有捆綁外掛,新的流氓行為包括故意妨礙其他同類軟體的使用,新的流氓行為包括把自己的流氓行為說成是BUG或者好功能,以此來掩蓋自己骯髒的目的,新的流氓都精通心理學,把使用者的心理研究的透透徹徹,並利用這種心理來做利於自己的事情。
更多QQ360大戰相關新聞更新:_3_
