腾讯QQ升级程序存在漏洞 被利用植入后门病毒

【快讯】近日,火绒安全团队根据用户反馈,发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可利用该漏洞下发任意恶意代码。截止到目前,最新版QQ(包括TIM、QQ、QQ轻聊版、QQ国际版等等)都存在该漏洞。

病毒分析
火绒近日截获,有黑客正在利用QQ升级程序漏洞进行病毒传播。受害终端网络在被恶意劫持的情况下,黑客可以下发任意恶意代码到本地执行,受到该漏洞影响的QQ软件版本包括:TIM、QQ、QQ轻聊版、QQ国际版等。本次漏洞攻击事件中所使用QQ升级逻辑漏洞早在2015就被公开披露过,QQ升级程序也就当时报出的漏洞进行了修补,但升级代码中依然存在逻辑漏洞。

腾讯QQ升级程序存在漏洞 被利用植入后门病毒

后门程序和腾讯升级程序进程关系

腾讯QQ升级程序存在漏洞 被利用植入后门病毒

漏洞利用现场

腾讯QQ升级程序存在漏洞 被利用植入后门病毒

网络数据

腾讯QQ升级程序存在漏洞 被利用植入后门病毒

请求数据内容

腾讯QQ升级程序存在漏洞 被利用植入后门病毒

被劫持后返回的数据

QQ升级模块分析

升级程序主要逻辑是:首先将本地QQ软件信息发送到QQ升级服务器,之后根据服务器返回的XML数据下载更新txupd.exe。在早期版本QQ升级程序中,由于下发升级XML数据校验代码中存在漏洞,在2015年版本中已经进行了相应修补,但修复后的升级程序中依然存在逻辑漏洞。QQ升级程序中仅有一处升级内容校验,校验完成后,会下载指定网址中的压缩包,之后验证压缩包MD5,解压执行压缩包中的txupd.exe。相关代码,如下图所示:

腾讯QQ升级程序存在漏洞 被利用植入后门病毒

文件有效性校验

腾讯QQ升级程序存在漏洞 被利用植入后门病毒

被修复的漏洞代码

被下发的病毒模块

解压包qq.zip中存放有病毒程序“txupd.exe”,图标是MFC默认图标,和腾讯升级程序图标有明显不同,经火绒工程师分析,该病毒为后门病毒,会收集用户计算机名称、账户名称、处理器信息、系统版本、MAC地址等信息上传到C&C服务器作为主机标识,且具备抓取屏幕截图、执行远程命令等功能。

腾讯QQ升级程序存在漏洞 被利用植入后门病毒

后门病毒行为

腾讯QQ升级程序存在漏洞 被利用植入后门病毒

截取屏幕

3. 执行远程命令的功能,相关代码如下图所示:
腾讯QQ升级程序存在漏洞 被利用植入后门病毒

执行远程命令

未经允许不得转载:三文雨公园 » 腾讯QQ升级程序存在漏洞 被利用植入后门病毒
分享到:
赞(0) 打赏

评论抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

欢迎来到三文雨公园!

加入交流群

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏