近日,根据用户反馈,天鹅绒安全团队发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可以利用此漏洞发布任意恶意代码。到目前为止,最新版本的QQ有这个漏洞。

经分析,被利用的升级漏洞在2015年被公开披露,腾讯对漏洞进行了修复,增加了验证逻辑。但是目前QQ的升级逻辑还是有逻辑漏洞的。

另外,在排除了本地劫持的可能性之后。),天鹅绒工程师推测可能是运营商劫持,也可能是路由器劫持。通过与用户沟通,得知用户刷过第三方路由器固件,不排除劫持路由器的可能。具体劫持的技术分析需要后续,天鹅绒安全团队会继续跟踪分析这次攻击。

由于QQ软件用户基数太大,不便透露漏洞的具体细节。天鹅绒敦促腾讯QQ团队加快修复,避免问题扩大。如果您需要有关漏洞的详细信息,请随时联系天鹅绒。天鹅绒可以向腾讯QQ团队提供细节和分析内容。

分析报告

火绒最近被截获,部分黑客正在利用QQ升级程序的漏洞传播病毒。当受害者终端网络被恶意劫持时,黑客可以发布任何恶意代码在本地执行。受此漏洞影响的QQ软件版本包括TIM、QQ、QQ轻聊版、QQ国际版等。此次漏洞攻击中使用的QQ升级逻辑漏洞早在2015年就被公开披露,QQ升级程序修复了当时举报的漏洞,但升级代码中仍然存在逻辑漏洞。天鹅绒在被劫持的场景中发现,QQ升级程序在发送升级请求后会下载并执行名为“txudp.exe”的病毒程序。QQ升级网站被劫持后下载并执行病毒程序。如下图所示:

后门程序与腾讯升级程序流程的关系我们在实验室环境下重现了劫持场景,利用情况如下图所示:

漏洞利用站点被黑客劫持后,升级相关网络请求数据,如下图所示:

网络数据“txudp.exe”程序将从http://updatecenter.qq.com/queryselfupdate的POST数据请求更新。开机自检的XML数据如下:

请求数据内容POST的数据没有问题,但是在网络数据中可以看到一个假的响应包,它包含一个二进制头,后跟更新后的ZIP包下载地址、ZIP包的MD5校验值和ZIP包大小。数据如下:

被劫持后返回的数据图中的URL www.baidu.com/abcload/qq.下载病毒压缩包“qq.”,将下载到用户电脑的临时目录中,然后解压运行名为“txudp.exe”的病毒程序。需要注意的是,URL“www . Baidu . com/ABC load/qq.”实际上是一个无效地址,但在被劫持的场景中,对该地址的HTTP GET请求会收到相应的响应包,并被下载到包含病毒的QQ . 压缩包中。另外,在排除了本地劫持的可能性之后。),天鹅绒工程师推测可能是运营商劫持,也可能是路由器劫持。通过与用户沟通,得知用户刷过第三方路由器固件,不排除劫持路由器的可能。具体劫持的技术分析需要后续,天鹅绒安全团队会继续跟踪分析这次攻击。QQ升级模块分析升级程序的主要逻辑是:先将本地QQ软件信息发送到QQ升级服务器,然后根据服务器返回的XML数据下载更新txupd.exe。QQ升级程序早期版本,由于分布式升级XML数据的验证码存在漏洞,2015版已经修复,但修复后的升级程序仍然存在逻辑漏洞。QQ升级程序中只有一个升级内容验证。验证后,将下载指定URL中的压缩包,然后验证压缩包MD5,并解压缩和执行压缩包中的txupd.exe。相关代码,如下图所示:

修复了文件有效性验证的漏洞验证码,如下图所示:

病毒程序“txupd.exe”存储在下载的病毒模块解压包qq.中,图标为MFC默认图标,与腾讯升级程序图标明显不同。经天鹅绒工程师分析,该病毒是一种后门病毒,它会收集用户的计算机名、帐户名、处理器信息、系统版本、MAC地址等信息,并上传到C & ampC server是主机标识,具有截图和执行远程命令的功能。用火绒剑监控下载的病毒程序“txupd.exe”会发给多个C & ampc服务器返回获得的用户数据,如下图所示:

后门病毒行为后门的主要功能代码如下:1 .收集用户电脑的基本信息,相关代码如下图所示:

数据收集。截取用户的电脑屏幕功能,相关代码如下图所示:

截屏3。执行远程命令功能,相关代码如下图所示:

执行远程命令

以上内容来自安全内部参考,由吉米收集整合。

今天,我想向你介绍《恐怖》。

成立以来第一次品牌形象升级。

新LOGO以红色+三角形为特色。

更接近于面向攻击的安全服务属性。

太恐怖了,值得期待。

1.《txupd 腾讯QQ升级程序存漏洞,被利用植入后门病毒》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。

2.《txupd 腾讯QQ升级程序存漏洞,被利用植入后门病毒》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。

3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/guoji/1663281.html