• _

  • 360软件暗藏四后门经权威证实确有其事

    被权威机构隐藏在后门的360软件确认存在不妥之处

    昨天有媒体报道说,扣带的保镖有四种后门技术可以随时远程打开。但360否认了这一点。现在它终于得到了第三方反病毒机构Rising Iron的证实。

    北京时间11月5日消息,知名第三方反病毒机构瑞星的最新技术分析报告证实,除了宣布11类可见功能外,扣扣保镖至少有4个隐藏功能,这些功能正是仅适用于QQ,具有用户无形和无法控制等功能。这些隐藏功能随时处于活动状态,可由360公司远程打开。

    360软件以下是完整报告:

    为什么360扣式保镖会激怒腾讯?

    ----上升的第三方独立研究报告(1)

    2010年10月29日,360公司在北京宣布推出一款名为“屈曲保镖”的安全工具,以充分保护QQ用户的安全。该工具包括防止隐私泄露,防止特洛伊木马窃取QQ帐户,加速QQ的功能。根据360,按钮保镖默认不修改QQ的任何设置。所有功能必须由用户主动触发,并且可以随时启用和恢复。

    Rising研发部门通过扣带保镖(版本1.0.0.1004)的主要功能分析了QGuard.dll模块:它发现除了声明的11类可见功能外,还有至少4个隐藏功能。它仅适用于QQ,具有用户无形和无法控制等功能。这些隐藏功能随时处于活动状态,可由360公司远程打开。

    详细分析了360个软件按钮保镖的4个隐藏功能

    除了界面上的可见功能外,扣扣保镖还有四个隐藏功能,如屏蔽QQ软件升级,劫持腾讯浏览器,阻断QQ启动的具体进程列表,以及备份和恢复QQ软件,所有这些由Config.ini文件组成。执行开关控制。分析后,带扣的保镖安装包中不提供控制文件,安装后不会自动生成。它可能只能由360“云服务器”直接传送(或者用户可以手动生成激活隐藏功能)。换句话说,用户无法控制这些隐藏的功能,也不知道他们的激活和验证。

    360软件技术细节:

    当用户使用按钮保镖(版本1.0.0.1004)时,它会通过全局挂钩模式将其主要功能模块QGuard.dll注入腾讯QQ进程,并拦截QQ进程系统调用ShellExecuteExW和CreateProcessInternalW等,始终注意Config.ini文件(隐藏功能激活文件),一旦发现文件存在,将根据文件内容激活相关的隐藏功能。

    通过分析现有的四个隐藏功能代码,我们可以推测Config.ini文件至少包含以下四个开关:

    [主要]

    DisableUpdate=1 //自动阻止QQ升级,这使得QQ软件无法在用户不知情的情况下升级。

    DisableBrowser=1 //隐藏QQ以启动浏览器并将其替换为360“安全”浏览器。

    Com=<已过滤的流程文件名1&gt ;<已过滤的流程文件名2&gt ;

    //自动屏蔽QQ启动指定镜像名称列表的进程启动。

    Enable_repair=1 //启用备份QQ参数:是否打开子弹框引导用户备份QQ软件

    MaxNotifyCount=50 //启用备份QQ参数:最大帧数

    FirstNotify=1 //启用备份QQ参数:QQ启动后的时间(以秒为单位)

    42770702.jpg

    以下是由扣环保镖QGuard.dll实施WINDOWS API拦截和API拦截的相关代码

    42770701.jpg

    42770700.jpg

    扣好的保镖将在QQ IM过程中拦截相关系统API后实时监控QQIM启动过程(用户不能使用任何功能设置项来执行隐藏功能关机操作)

    360软件隐藏功能1:激活后自动屏蔽QQ软件升级

    此隐藏功能会影响域:

    隐藏功能被激活后,QQ安全组件,QQ本身等软件无法更新和升级(用户不知情,也不会得到任何错误提示),QQ软件将成为“死机”软件。

    42770699.jpg

    以下是拦截ShellExecuteExW和CreateProcessInternalW后,由扣环保镖QGuard.dll执行的QQ IM启动升级过程(屏蔽QQ升级)升级部分的识别和屏蔽。

    42770698.jpg

    如果在Config.ini文件中发现启动了auclt.exe,SelfUpdate.exe和QQSafeud.exe并且DisableUpdate=1,则将绕过实际系统调用,并且QQ升级过程将失效。这些操作不会给用户任何提示!

    360软件隐藏功能2:激活后,QQ启动程序根据指定的进程列表

    截获

    此隐藏功能会影响域:

    激活隐藏功能后,将根据360传送的Config.ini中指定的进程名称过滤QQ启动程序。这将使360非常方便可控的QQ发射器拦截。

    按钮的保镖还将尝试读取安装目录中360 \ 360safe \ 360QGuard \下Config.ini中Main键下的Com字段(请参阅上述Config.ini结构)。由于默认安装下不存在Config.ini,因此无法知道需要屏蔽的进程。但是,通过分析代码,您可以知道此字段是由“;”分隔的进程列表。按钮的保镖将阻止此列表中具有相同文件名的所有进程的启动。

    以下是QQ启动器阻止列表部分代码

    42770697.jpg

    以下是:扣带保镖QGuard.dll屏蔽列表读取代码

    42770696.jpg

    除此之外,还在%AppData%配置文件UserConfig.ini中读取组件字段,其中每个镜像名称后跟0和1是进程掩码开关。

    %AppData%\ 360QGuard \ UserConfig.ini如下所示:

    [成分]

    <文件名和扩展名>=0 | 1

    360软件隐藏功能3:激活后,QQ软件浏览器被劫持(换成360浏览器)

    42770695.jpg

    42770694.jpg

    42770693.jpg

    此隐藏功能会影响域:

    激活此功能后,QQ进程启动的浏览器进程(带参数浏览URL方法)将被启动360SE进行浏览(安装360浏览器时)。由于此功能是一个拦截API实现,无论用户设置哪个默认浏览,无论腾讯QQ目前使用哪个浏览器,都会被劫持到360SE(附:此隐藏功能不仅可以劫持TTraveler.exe ,QQBrowser.exe,您还可以根据升级的配置随时指定被劫持的浏览器进程的名称。)

    这样,QQ软件用户聊天带来的所有URL链接的视图数量将由360SE获得。

    扣上保镖QGuard.dll拦截程序,发现QQ IM启动程序是腾讯的浏览器(TTraveler.exe和QQBrowser.exe),而Config.ini文件内容有DisableBrowser=1,那么QQ IM启动浏览器自动替换为一个360浏览器。

    此外,Call InitComponent的最后一行读取%AppData%的配置文件UserConfig.ini中的组件项是否具有指定名称的镜像名称,如果找到,则将替换为360的浏览器。

    360软件隐藏功能四:激活后,用户被欺骗备份QQ软件(并可以恢复)

    此隐藏功能会影响域:

    激活隐藏功能后,将引导用户根据360传送的Config.ini中配置的参数将QQ软件备份到360指定目录,并可以通过扣带保镖恢复。

    42770692.jpg

    在config.ini中填写上面的内容,启动QQ时会出现以下对话框。

    42770691.jpg

    42770688.jpg

    在这里你可以禁用QQ的自动更新功能。备份按钮将所有QQ数据备份到360配置目录。如下图所示:

    42770690.jpg

    相关代码如下:

    42770689.jpg

    42770704.jpg

    42770703.jpg

    分析和总结:

    360按钮保镖的这4个隐藏功能是高度针对性的(对于QQ软件)并且具有:

    1.执行流氓软件功能,在不通知用户的情况下破坏其他软件的正常运行。

    2.绕过用户控制隐藏触发器的后门功能。

    3.注入其他进程并修改其正常功能模式的插件功能。

    这些技术通常只能在特洛伊木马,后门程序和病毒等恶意软件上看到。出现在“安全名称”软件和正常软件使用中极为罕见。这也很好地理解为什么360让它如此短暂,为什么腾讯如此愤怒。