瑞星證實扣扣保鏢確實設有後門 圖解爲何騰訊如此憤怒

國內知名第三方反病毒機構瑞星最新發布的技術分析報告證實，扣扣保鏢除了擁有其宣稱的11大類可見功能之外，至少還存在4個隱藏功能，這些功能僅針對QQ，且都具有用戶不可見、不可控制等特性。這些隱藏功能隨時處於活動狀態，並且可由360公司遠程開啓。

 

昨日，曾有媒體報道扣扣保鏢存在四大後門技術，可以隨時遠程開啓。但360對此矢口否認。如今終於得到來自第三方反病毒機構瑞星鐵一般的證實。 ——QQTN更新扣扣保鏢後門

 

 

以下是報告全文：

 

360扣扣保鏢爲何激怒騰訊？

 

2010年10月29日，360公司在京宣佈，推出一款名爲“扣扣保鏢”的安全工具，全面保護QQ用戶的安全。該工具包括防止隱私泄漏、防止木馬盜取QQ賬號以及給QQ加速等功能。360稱，扣扣保鏢默認不修改QQ任何設置，所有功能都必須由用戶主動選擇觸發，並可隨時啓用和恢復。

 

瑞星研發部門通過對扣扣保鏢（4版本）主要功能實現模塊進行分析：發現該軟件除了擁有其宣稱的11大類可見功能之外，至少還存在4個隱藏功能，這些功能僅針對QQ，且都具有用戶不可見、不可控制等特性。這些隱藏功能隨時處於活動狀態，並且可由360公司遠程開啓。

 

 

扣扣保鏢4個隱藏功能詳細分析

 

扣扣保鏢除了界面上的可見功能以外，還存在屏蔽QQ軟件升級、劫持騰訊瀏覽器、屏蔽QQ啓動的特定進程列表、備份並恢復QQ軟件等4個隱藏的功能，它們均由文件進行開關控制。經分析，該控制文件在扣扣保鏢安裝包中並沒有提供，安裝後也不會自動生成，只可能由360 “雲服務器”直接進行遠程投遞（或用戶可以手動生成激活隱藏功能）。也就是說，用戶對於這些隱藏功能均無法控制，而且不瞭解其激活和生效情況。

 

 

技術細節：

 

用戶使用扣扣保鏢（4版本）時，它會把自己的主要功能模塊通過全局鉤子方式注入騰訊QQ進程，並攔截QQ進程的系統調用ShellExecuteExW和CreateProcessInternalW等，時刻關注文件（隱藏功能激活文件），一旦發現該文件存在，將根據文件內容進行相關隱藏功能的激活動作。

 

通過對現有的4個隱藏功能代碼分析，我們可以推測文件至少存在以下4種開關：

 

[Main]

 

DisableUpdate=1 //自動屏蔽QQ升級，導致用戶不知情的情況下QQ軟件無法升級。

 

DisableBrowser=1 //劫持QQ對瀏覽器的啓動並替換爲360”安全”瀏覽器。

 

Com=<過濾的進程文件名1>；<過濾的進程文件名2>；……

 

//自動屏蔽QQ啓動指定鏡像名例表的進程啓動。

 

enable_repair=1 //開啓備份QQ的參數：是否開啓彈框引導用戶備份QQ軟件

 

MaxNotifyCount = 50 //開啓備份QQ的參數：最多彈框次數

 

FirstNotify=1 //開啓備份QQ的參數： QQ啓動後彈框的時間(秒)

 

 

以下爲扣扣保鏢 進行WINDOWS API 攔截及API攔截功能實現的相關代碼

 

 

扣扣保鏢在QQ IM進程中攔截相關係統API後將實時監控QQIM啓動進程動作（用戶不能使用任何功能設置項進行隱藏功能關閉操作）

 

 

隱藏功能一：激活後自動屏蔽QQ軟件升級

 

該隱藏功能影響域：

 

該隱藏功能激活後，QQ的安全組件、QQ本身等軟件都不能正常更新升級（用戶毫不知情，也不會得到任何錯誤提示），QQ軟件將變成一個“死”軟件。

 

以下爲扣扣保鏢在攔截ShellExecuteExW及CreateProcessInternalW後進行的QQ IM啓動升級進程（屏蔽QQ升級）識別及屏蔽升級部分代碼。

 

如果發現啓動的是、和並在文件中DisableUpdate=1則將繞開真實系統調用，使QQ升級進程啓動失效。這些操作將對用戶沒有任何提示！

 

 

隱藏功能二：激活後根據指定進程列表進行QQ啓動程序的攔截

 

該隱藏功能影響域：

 

該隱藏功能激活後，將根據360投送的裏指定的進程名進行QQ啓動程序過濾。這將讓360可以非常方便進行可控的QQ啓動程序攔截。

 

扣扣保鏢還會嘗試讀取位於安裝目錄下360360safe360QGuard下的中Main主鍵下的Com字段（參照上文所述結構）。由於在默認安裝情況下不存在，在此無法得知具體需要屏蔽的進程，但是通過分析代碼可以得知此字段爲一個由“；”分割的一個進程列表。扣扣保鏢將攔截此列表中所有文件名相同的進程的啓動。

 

以下爲QQ啓動程序屏蔽列表部分代碼

 

以下爲：扣扣保鏢屏蔽列表讀取代碼

 

除此之外還會在%AppData%的配置文件中讀取component字段，其中每一項鏡像名其後的0和1爲進程屏蔽開關。

 

%AppData%360QGuard內容如下：

 

[component]

 

<要阻止的文件名及擴展名>=0|1

 

 

隱藏功能三：激活後對QQ軟件的瀏覽器進行劫持（替換成360瀏覽器）

 

 

 

該隱藏功能影響域： 

該功能激活後，QQ 進程啓動的瀏覽器進程（帶參數瀏覽URL方式）將被替換成啓動360SE來進行瀏覽（裝着360瀏覽器的情況下）。由於該功能是攔截 API實現，所以無論用戶設置的默認瀏覽是什麼，也不論騰訊QQ當前選用哪個瀏覽器都將被劫持成360SE（附：該隱藏功能不單可以劫持，，還能根據升級的配置隨時指定劫持的瀏覽器進程名。）

 

這樣QQ軟件用戶聊天時帶的所有URL鏈接的瀏覽量將都被360SE獲取。

 

扣扣保鏢攔截程序，發現QQ IM啓動的程序爲騰訊的瀏覽器（和），且文件內容中有DisableBrowser=1，則將QQ IM啓動的瀏覽器自動替換爲360的瀏覽器。

 

除此之外，通過最後一行Call InitComponent讀取位於%AppData%的配置文件中的component項是否有指定名稱的鏡像名，如果發現也將替換爲360的瀏覽器。

 

 

隱藏功能四：激活後欺騙用戶對QQ軟件進行備份（並可做恢復操作）

 

該隱藏功能影響域：

 

該隱藏功能激活後，將根據360投送的裏配置的參數引導用戶備份QQ軟件到360指定目錄，並可通過扣扣保鏢進行恢復。

 

在裏填入以上內容，在啓動QQ時會出現以下對話框。

 

 

在這裏可以禁用QQ的自動更新功能。備份按鈕會將QQ的全部數據備份到360的配置目錄。如下圖：

 

 

相關代碼如下：

 

分析總結：

 

由於360扣扣保鏢的這4個隱藏功能針對性極強（針對QQ軟件）並具有：

 

1、在不被用戶知情的情況下進行破壞其它軟件正常運行的流氓軟件特性。

 

2、繞開用戶控制隱蔽觸發的後門功能特性。

 

3、注入其它進程，修改其正常功能運行方式的外掛特性。

 

而這些技術手段通常只在木馬、後門、病毒這類惡意軟件上見到，在一款“以安全爲名”的軟件上出現並針對正常軟件使用是極爲罕見的。這也可以很好地理解爲什麼360讓它如此短命，騰訊爲什麼如此憤怒。

 

附：

 

從百度百科中查出一些公衆認知的定義：

 

外掛：外掛一般是指在電腦運行中，一個程序通過某種事件觸發而得以掛接到另外一個程序的空間裏（常用的觸發事件有鍵盤觸發，鼠標觸發，消息觸發等），掛接的目的通常是想改變被掛接程序的運行方式。

 

後門功能：指繞過軟件的安全性控制而從比較隱祕的通道獲取對程序或系統訪問權的方法。

 

流氓軟件新發展：新的流氓軟件可能並沒有捆綁插件，新的流氓行爲包括故意妨礙其他同類軟件的使用，新的流氓行爲包括把自己的流氓行爲說成是BUG或者好功能，以此來掩蓋自己骯髒的目的，新的流氓都精通心理學，把用戶的心理研究的透透徹徹，並利用這種心理來做利於自己的事情。

 

 

更多QQ360大戰相關新聞更新：_3_