360软件暗藏四后门经权威证明确有其事
昨日,曾有媒体报道扣扣保镖存在四大后门技术,可以随时长途开启。但360对此矢口否定。如今终于得到来自第三方反病毒机构瑞星铁个别的证明。
北京工夫11月5日新闻,国内知名第三方反病毒机构瑞星最新发表的技术剖析汇报证明,扣扣保镖除了具有其声称的11大类可见功能以外,至少还存在4个隐蔽功能,这些功能仅针对QQ,且都拥有会员不可见、不可控制等特性。这些隐蔽功能随时处于流动状态,并且可由360企业长途开启。
360软件下列是汇报全文:
360扣扣保镖为什么激愤腾讯?
----瑞星第三方独立研究汇报(一)
2010年10月29日,360企业在京公布,推出一款名为“扣扣保镖”的平安工具,全面维护QQ会员的平安。该工具包括防止隐私走漏、防止木马偷取QQ账号以及给QQ加快等功能。360称,扣扣保镖默许不修改QQ任何设置,所有功能都必须由会员自动选中触发,并可随时启用和恢复。
瑞星研发部门通过对扣扣保镖(1.0.0.1004版本)主要功能实现模块QGuard.dll进行剖析:发明该软件除了具有其声称的11大类可见功能以外,至少还存在4个隐蔽功能,这些功能仅针对QQ,且都拥有会员不可见、不可控制等特性。这些隐蔽功能随时处于流动状态,并且可由360企业长途开启。
360软件扣扣保镖4个隐蔽功能细致剖析
扣扣保镖除了界面上的可见功能之外,还存在屏蔽QQ软件升级、劫持腾讯阅读器、屏蔽QQ启动的特定进程列表、备份并恢复QQ软件等4个隐蔽的功能,它们均由Config.ini文件进行开关控制。经剖析,该控制文件在扣扣保镖安装包中并没有供给,安装后也不会主动生成,只可能由360 “云服务器”直接进行长途送达(或会员可以手动生成激活隐蔽功能)。也就是说,会员关于这些隐蔽功能均没法控制,而且不理解其激活和生效状况。
360软件技术细节:
会员运用扣扣保镖(1.0.0.1004版本)时,它会把本人的主要功能模块QGuard.dll通过全局钩子方式注入腾讯QQ进程,并拦截QQ进程的系统调用ShellExecuteExW和CreateProcessInternalW等,时刻关注Config.ini文件(隐蔽功能激活文件),一旦发明该文件存在,将依据文件内容进行相干隐蔽功能的激流动作。
通过对现有的4个隐蔽功能代码剖析,我们可以猜测Config.ini文件至少存在下列4种开关:
[Main]
DisableUpdate=1 //主动屏蔽QQ升级,导致会员不知情的状况下QQ软件没法升级。
DisableBrowser=1 //劫持QQ对阅读器的启动并替代为360”平安”阅读器。
Com=<过滤的进程文件名1>;<过滤的进程文件名2>;……
//主动屏蔽QQ启动指定镜像名例表的进程启动。
enable_repair=1 //开启备份QQ的参数:是否开启弹框指导会员备份QQ软件
MaxNotifyCount = 50 //开启备份QQ的参数:最多弹框次数
FirstNotify=1 //开启备份QQ的参数: QQ启动后弹框的工夫(秒)
 |
下列为扣扣保镖QGuard.dll 进行WINDOWS API 拦截及API拦截功能实现的相干代码
 |
| |
扣扣保镖在QQ IM进程中拦截相干系统API后将实时监控QQIM启动进程行动(会员不能运用任何功能设置项进行隐蔽功能关闭操纵)
360软件隐蔽功能一:激活后主动屏蔽QQ软件升级
该隐蔽功能影响域:
该隐蔽功能激活后,QQ的平安组件、QQ自身等软件都不能正常更新升级(会员毫不知情,也不会得到任何差错提醒),QQ软件将变成一个“死”软件。
| |
下列为扣扣保镖QGuard.dll在拦截ShellExecuteExW及CreateProcessInternalW后进行的QQ IM启动升级进程(屏蔽QQ升级)辨认及屏蔽升级局部代码。
| |
要是发明启动的是auclt.exe、SelfUpdate.exe和QQSafeud.exe并在Config.ini文件中DisableUpdate=1则将绕开真实系统调用,使QQ升级进程启动失效。这些操纵将对会员没有任何提醒!
360软件隐蔽功能二:激活后依据指定进程列表进行QQ启动程序的拦截
该隐蔽功能影响域:
该隐蔽功能激活后,将依据360投送的Config.ini里指定的进程名进行QQ启动程序过滤。这将让360可以非常利便进行可控的QQ启动程序拦截。
扣扣保镖还会尝试读取位于安装目录下360\360safe\360QGuard\下的Config.ini中Main主键下的Com字段(参照上文所述Config.ini构造)。因为Config.ini在默许安装状况下不存在,在此没法得知具体需要屏蔽的进程,但是通过剖析代码可以得知此字段为一个由“;”分割的一个进程列表。扣扣保镖将拦截此列表中所有文件名雷同的进程的启动。
下列为QQ启动程序屏蔽列表局部代码
| |
下列为:扣扣保镖QGuard.dll屏蔽列表读代替码
| |
除此以外还会在%AppData%的配置文件UserConfig.ini中读取component字段,其中每一项镜像名其后的0和1为进程屏蔽开关。
%AppData%\360QGuard\UserConfig.ini内容如下:
[component]
<要阻止的文件名及扩展名>=0|1
360软件隐蔽功能三:激活后对QQ软件的阅读器进行劫持(替代成360阅读器)
| |
| |
| |
该隐蔽功能影响域:
该功能激活后,QQ 进程启动的阅读器进程(带参数阅读URL方式)将被替代成启动360SE来进行阅读(装着360阅读器的状况下)。因为该功能是拦截 API实现,所以不管会员设置的默许阅读是什么,也不论腾讯QQ目前选用哪个阅读器都将被劫持成360SE(附:该隐蔽功能不单可以劫持TTraveler.exe,QQBrowser.exe,还能依据升级的配置随时指定劫持的阅读器进程名。)
这样QQ软件会员谈天时带的所有URL链接的阅读量将都被360SE获取。
扣扣保镖QGuard.dll拦截程序,发明QQ IM启动的程序为腾讯的阅读器(TTraveler.exe和QQBrowser.exe),且Config.ini文件内容中有DisableBrowser=1,则将QQ IM启动的阅读器主动替代为360的阅读器。
除此以外,通过最后一行Call InitComponent读取位于%AppData%的配置文件UserConfig.ini中的component项是否有指定名称的镜像名,要是发明也将替代为360的阅读器。
360软件隐蔽功能四:激活后诈骗会员对QQ软件进行备份(并可做恢复操纵)
该隐蔽功能影响域:
该隐蔽功能激活后,将依据360投送的Config.ini里配置的参数指导会员备份QQ软件到360指定目录,并可通过扣扣保镖进行恢复。
| |
在config.ini里填入以上内容,在启动QQ时会涌现下列对话框。
| |
| |
在这里可以禁用QQ的主动更新功能。备份按钮会将QQ的全部数据备份到360的配置目录。如下图:
| |
相干代码如下:
| |
| |
| |
剖析总结:
因为360扣扣保镖的这4个隐蔽功能针对性极强(针对QQ软件)并拥有:
1、在不被会员知情的状况下进行毁坏其它软件正常运转的流氓软件特性。
2、绕开会员控制隐藏触发的后门功能特性。
3、注入其它进程,修改其正常功能运转方式的外挂特性。
而这些技术伎俩平常只在木马、后门、病毒这类歹意软件上见到,在一款“以平安为名”的软件上涌现并针对正常软件运用是极为罕见的。这也可以非常不错地了解为何360让它如此短命,腾讯为何如此愤怒。
