|
问题原因
2015年12月16日起,我们陆续发现了不少客户出现QQ号被盗的情况 经过大量系统的检查和部署,发现是由上海雨人软件技术开发有限公司 开发的雨人软件推送导致的。。详细情况如见下图 雨人在5-6月期间开始推送APP(安卓手机强制推送游戏和软件)增值。 这个广告对网吧客户影响较少,只是偶会出explorer.exe进程报错 但是在2015年12月15日开始,这个推送的文件开始推送病毒以及盗号文件。
影响范围2015年5月份后,重新做过系统,或者开过超级的网吧
雨人公司马上将后台的推送关闭,但是由于APP每次雨人开机都会推送下去,所以变成了大部分都转存到客户机无盘镜像中, 所以大部分网吧,只要重新做过系统,或者开过超级的都带了这个APP软件。 此病毒经过我们分析,启动后监视系统,发现QQ以及其他游戏登录后 将游戏或QQ结束,并启动一个类似的启动界面(请看下图) 此时客户将信息输入后,由盗号人员截获并保存了。 此次盗号连接的服务器是222.185.57.27
解决办法1.联系雨人将推送去掉 2.在服务器挂载客户机系统磁盘,将以下路径的目录文件清空,(appmain_plus)设置为不可读写,并保存。 win7下 客户机挂载的磁盘目录:\Users\Administrator\AppData\Roaming\appmain_plus 3.如果服务器上挂载没有这个目录的,请手动建立这个目录,并且把权限禁止 4.有条件的,请联系当地网监,报警 5.在2015年12月15日后,带毒环境操作的客户和技术,请重新安装系统,因为APP下发的病毒文件 已经在系统内执行并且占位了,此时屏蔽目录已经没有任何作用了。
后续问题不少客户之前已经被盗号了,你禁止后还有报盗号的属于滞后现象。
反思和考虑
要修改文件,请用服务器推送以及开包功能。这次出现问题的原因就在于,雨人拥有权限极大的推送功能,又无法去监控和监管;相信这个问题,不会是第一次,也不会是最后一次。 对普通用户说的话网吧这次出问题,让你丢失了你的QQ号,在这给你道歉了!但这实非网吧本意,是因为上级监管部门出现问题了,这次问题波及好几个市地区,相信上海雨人公司会尽快报案,给大家一个结果。增强安全性这块,请广大用户安装手机安全中心,是最靠谱和安全的办法。请普通用户安装使用就可以了,腾讯的安全在这块的确做的很好了。
北京云千帆科技有限责任公司团队感谢在出现问题的过程中,提供环境和便利的用户。感谢这些用户为16,17,18这三天更多的人没有丢失QQ号做出的贡献
截图 :::::::
正常有QQ进程截图
正常QQ启动的截图 --------------------------------------------------------------------------------------------------------------------------------
这个是QQ被结束进程之后 
------------------------------------------------------------------------------------------------------------------------------------ 假QQ窗体连接的网络信息
------------------------------------------------------------------------------------------------------------------------------------------------ 输入任意帐号密码后,弹出的异地登录窗口 
------------------------------------------------------------------------------------------------------------------------- 进程启动信息 
------------------------------------------------------------------------------------------------------------------------------------------------------------ 启动文件 
------------------------------------------------------------------------------------------------------------------------------
启动文件的信息 
----------------------------------------------------------------------------------------------------------------------------------------------------------- 
----------------------------------------------------------------------------------------------------------------------------------------------------- 
----------------------------------------------------------------------------------------------------------------------------------------------- 
|
