最近手下的很多家网吧都出现了QQ发小广告导致被腾讯封号的问题,手机都被老板打爆了,问了一下其它地方的哥们,他们那边也出现了不少同样的情况。
去几个网吧看了一下,发现发广告的QQ一般是下面两种现象: 1、自动发假红包,实际是广告链接或病毒。 
2、自动发一些莫名其妙的分享网页链接,内容为广告。
那么这东西到底是怎么来的? 在多个网吧排查发现是客户机系统盘里面X:\Windows\SysWOW64\svchsot.exe(注意是svchsot.exe跟系统文件svchost名称很像)导致,服务器挂载客户机镜像包删除svchsot.exe后正常。 这个后门又是谁放的?我们发现有几个感染的途径,主要是一些镜像包和一些程序破解包里存在,当前发现有以下3个方面。 (1)网吧三国M7的pnp包使用破解工具的时候被感染,M7以前的最好也检查一下。 三国包作者在年前已经已经说过这个情况,老系统被感染了。建议大家使用乾坤版M8三国包,易乐游V7三国包。 老系统需要挂包删除这个文件。具体见此说明 (这个文件其实已经提交给易乐游官方加黑名单了,网吧只要没有关闭特征码拦截功能此后门就无法感染,所以建议各类网吧维护软件默认开启的特征码拦截,IP过滤不要手动去关闭了。) http://www.583go.com/article-1002-1.html 
(2)万象等软件的破解程序,WINDOWS激活工具带的后门。 文件特征码各不相同,手法类似。
(3)绿茶pnp包自带的后门。 也需要挂包删除这个后门。 
目前问题的原因主要是以上3种情况,请大家注意及时清理。
———————————————————————————————— 最近QQ还有自动加好友的情况,是twain64.dll注入和timwp.exe干扰来实现。 目前发现绿化、诺德尔、营销大师和龙管家可能会出现这个情况,大家多注意。 自动加好友的情况可以看一下,另外两个哥们写的分析: http://www.583go.com/article-1233-1.html
http://www.583go.com/article-1274-1.html
|
