|
|
对UPDATE的分析
显性动作
[SetHomePage] Url=http://www.9991.com/
[PopupIE] Url=http://www.chanet.com.cn/click.cgi?a=6606&d=3086&u=
[PopupIE] Url=http://www.b2b2.net/51gg/index.html
[PopupIE] Url=http://www.7mp3.com
[PopupIE] Url=http://www.600001.com/
[PopupIE] Url=http://www.600005.com/
隐性动作
[Actions]访问 Url=http://file.qqhelper.com/up/update.dat
[Update]升级 Url=http://www.yulexingkong.com/mop/uninstalldrv.exe
[Update] Url=http://www.ha0l23.com/softbaby/uninstalltmp.exe
[Update] Url=http://tongji.qqhelper.com/tj/tj?setupid=$(setupid)&mac=$(computerid)&type=$(sendflag)&version=$(version)&exeversion=$(exeversion)&setupdate=$(setupdate)
在机器生成以下目录以及文件:
C:\Program Files\Common Files\UPDATE
update.dat
update.exe
以上动作都是update.exe干的
另外生成一个目录以及文件:
C:\Program Files\Common Files\SAND
updatesr.ini
svr.dat
qqfacerclient.exe
twunk_8.exe
还没有看到具体动作,有潜伏期。
背后:商业动机 弹出全球百强网站
多多QQ表情敢于挑战法律,公开捆绑恶性病毒,目的何在呢?笔者随后又对其展开了进一步的调查。首先,笔者打开了其弹出的第一个网站9991的链接,吃惊的发现,这家成立于2005年10月第二个星期的网站,在ALEXA里的排名居然已经上升到了全球前100名。如果按照其REACH值1万来推算,其流量已经达到了新浪的七分之一。
那么这家网站又是通过什么手段如何神奇般在3个月之内的由0做到全球100名呢?那就是前面被诺顿和瑞星认定的多多QQ表情携带的UPADATE病毒。同时,笔者打开多多QQ表情指向的其他相关网站,同样发现了这个这恶性病毒所带来的巨额流量使这些网站在短期间内搭上了超级火箭。
ALEXA发展趋势:
![]()
![]()
谁是幕后黑手?
在百度里,笔者输入“9991”显示的第一条结果是"9991实用生活网-网址大全-分类信息-实用查询",而对应的链接是www.woyaoshang.com(我要上),而不是www.9991.com,进去一看,内容和9991一样,相关的联系方式和9991也是一模一样,可以断定,他们是同一个人所为。
在DONEWS一篇BLOG暴料:“现在网站打着"9991.com是绿色安全网站,多家媒体宣传、推荐,点此查看",看来流氓改良了,不从事流氓事业了,关键是以前被你流氓的用户怎么摆脱痛苦!!!!www.woyaoshang.com又是谁注册的呢?自己没有到域名注册商那去搜索,而是直接到了www.alexa.com 去查,查询到的邮箱是whocool@163.com,,再回到baidu搜索这个信箱,原形就出来了!邮箱无一例外都指向了同一个人-——大名鼎鼎的庞升东。”
看来,表面的众多证据,都指向庞升东。但是,幕后到底又有怎样的实情?本站将继续跟踪报道。 |
|
IP卡
狗仔卡
发表于 2006-1-16 13:04
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
楼主
