腾讯反病毒实验室近期捕获一新型QQ病毒,此款病毒通过利用QQ程序接口,不经过用户同意,强制把当前的QQ主动添加一个QQ好友,添加的QQ好友一般是广告营销的QQ,病毒借此达到病毒营销推广的目的。
主要传播渠道:目前这类病毒会伪装成“不知道的事.rar”在群共享、离线传文件进行传播
病毒的行为分析:
1、设置任务管理器不能启功
调用RegSetValueEx相关API修改以下键值:
Key=HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Windows\CurrentVersion\Policies\System
Value=DisableTaskMgr
Data=0x1
2、不判断当前是否已登录了QQ,直接调用CreateProcess创建Timwp.exe进程
如果当前的QQ在线的话,则会弹出:
3、接下来的动作就是模拟点击完成加添加好友动作。病毒不断地发键盘模拟消息动作有三个:CRTL+V、CTRL+回车和回车,直到添加好友成功。CRTL+V如果当前剪贴板上有内容则会添加到“认证消息”里面去,CRTL+回车和回车,则是为了跳到下一步。
/CALL 到 keybd_event 来自 强制加好.00446A95
|Key = 11 //CTRL 键
|ScanCode = 0
|Flags = 0
Key = 0x11 CTRL键
Key = 0x56 V 键
Key = 0xD 回车
添加好友步骤:
(① 按“添加好友”,直接到下一步。备注:如果点击“取消”,病毒继续弹出添加好友框,直到你按“添加好友”按钮为止)
(② 病毒自动响应回车,自动下一步)
(③ 病毒自动响应回车,自动下一步)
(④ 病毒自动响应回车,自动下一步)
(⑤ 病毒自动响应完成添加好友)
(⑥ 然后通过强制添加完成的QQ号向你发送广告信息)
电脑管家对此类病毒能有效拦杀:
