千萬QQ表情暗藏病毒:背後另有驚人祕密

QQ表情本來是廣受用户歡迎的一個實用工具，然而，最近有人卻利用人們對QQ表情的喜愛，將其變成了一種惡性病毒。最近，筆者不斷接到求助電話，受到一款名叫多多QQ表情病毒的騷 擾。筆者隨即對這款工具軟件進行調查，發現了其背後還暗藏着驚人祕密。

真相：公開捆綁傳播，被指暗藏病毒

　　在百度上搜索“QQ表情”，找到相關網頁約1,660,000篇，搜索“多多QQ表情”，找到相關網頁約660,000篇，通過這簡單的計算，多多QQ表情擁有QQ表情市場近40%的市場佔有率。那麼這款有着驚人市場佔有率的軟件到底是一款什麼樣的軟件呢？

　　根據其官方介紹，多多QQ表情是一款專門為騰訊QQ用户打造的免費軟件,提供超炫QQ表情,點擊就能導入QQ表情中,導入完畢就能在QQ聊天時使用,豐富您的對話。同時QQ表情還向軟件作者和站長開出了價碼，稱將按0.05元一個的價格與軟件捆綁，且特別聲明，在安裝成功後在添加刪除程序中可以看到“多多QQ表情”選項，可自由卸載。

　　真相到底是怎樣呢？在百度裏，筆者發現得更多的卻是和求助電話裏類似的內容。見圖1：

圖1

同時，筆者向一位做安全的朋友求助，他稱，多多QQ表情雖然只有47K，而且表面上可挾載，但它確捆綁了另一個叫Update的病毒。而這已經大大超出了之前大家所定義的流氓軟件的範疇，因為，在諾頓和瑞星裏，大家已經將UPDATE定義成了病毒。

諾頓對QQ表情主程序的認定：

瑞星對QQ表情的認定:

超級兔子對多多QQ表情的認定:

對UPDATE的分析

顯性動作
　　[SetHomePage] Url=
　　[PopupIE] Url=
　　[PopupIE] Url=
　　[PopupIE] Url=
　　[PopupIE] Url=
　　[PopupIE] Url=

　　隱性動作
　　[Actions]訪問 Url=
　　[Update]升級 Url=
　　[Update] Url=
　　[Update] Url=$(setupid)&mac=$(computerid)&type=$(sendflag)&version=$(version)&exeversion=$(exeversion)&setupdate=$(setupdate)

　　在機器生成以下目錄以及文件：
　　C:Program FilesCommon FilesUPDATE
　　
　　
　　以上動作都是乾的

　　另外生成一個目錄以及文件：
　　C:Program FilesCommon FilesSAND
　　
　　
　　
　　twunk_
　　還沒有看到具體動作，有潛伏期。