瑞星發(fā)布技術(shù)分析報(bào)告：360扣扣保鏢存在多后門

Win7之家（ m.airtaxifl.com）：瑞星發(fā)布技術(shù)分析報(bào)告：360扣扣保鏢存在多后門

北京時(shí)間11月5日消息，國(guó)內(nèi)知名第三方反病毒機(jī)構(gòu)瑞星最新發(fā)布的技術(shù)分析報(bào)告證實(shí)，扣扣保鏢除了擁有其宣稱的11大類可見(jiàn)功能之外，至少還存在4個(gè)隱藏功能，這些功能僅針對(duì)QQ，且都具有用戶不可見(jiàn)、不可控制等特性。這些隱藏功能隨時(shí)處于活動(dòng)狀態(tài)，并且可由360公司遠(yuǎn)程開(kāi)啟。

昨日，曾有媒體報(bào)道扣扣保鏢存在四大后門技術(shù)，可以隨時(shí)遠(yuǎn)程開(kāi)啟。但360對(duì)此矢口否認(rèn)。如今終于得到來(lái)自第三方反病毒機(jī)構(gòu)瑞星鐵一般的證實(shí)。

以下是報(bào)告全文：

360扣扣保鏢為何激怒騰訊？

----瑞星第三方獨(dú)立研究報(bào)告（一）

2010年10月29日，360公司在京宣布，推出一款名為“扣扣保鏢”的安全工具，全面保護(hù)QQ用戶的安全。該工具包括防止隱私泄漏、防止木馬盜取QQ賬號(hào)以及給QQ加速等功能。360稱，扣扣保鏢默認(rèn)不修改QQ任何設(shè)置，所有功能都必須由用戶主動(dòng)選擇觸發(fā)，并可隨時(shí)啟用和恢復(fù)。

瑞星研發(fā)部門通過(guò)對(duì)扣扣保鏢（1.0.0.1004版本）主要功能實(shí)現(xiàn)模塊QGuard.dll進(jìn)行分析：發(fā)現(xiàn)該軟件除了擁有其宣稱的11大類可見(jiàn)功能之外，至少還存在4個(gè)隱藏功能，這些功能僅針對(duì)QQ，且都具有用戶不可見(jiàn)、不可控制等特性。這些隱藏功能隨時(shí)處于活動(dòng)狀態(tài)，并且可由360公司遠(yuǎn)程開(kāi)啟。

扣扣保鏢4個(gè)隱藏功能詳細(xì)分析

扣扣保鏢除了界面上的可見(jiàn)功能以外，還存在屏蔽QQ軟件升級(jí)、劫持騰訊瀏覽器、屏蔽QQ啟動(dòng)的特定進(jìn)程列表、備份并恢復(fù)QQ軟件等4個(gè)隱藏的功能，它們均由Config.ini文件進(jìn)行開(kāi)關(guān)控制。經(jīng)分析，該控制文件在扣扣保鏢安裝包中并沒(méi)有提供，安裝后也不會(huì)自動(dòng)生成，只可能由360 “云服務(wù)器”直接進(jìn)行遠(yuǎn)程投遞（或用戶可以手動(dòng)生成激活隱藏功能）。也就是說(shuō)，用戶對(duì)于這些隱藏功能均無(wú)法控制，而且不了解其激活和生效情況。

技術(shù)細(xì)節(jié)：

用戶使用扣扣保鏢（1.0.0.1004版本）時(shí)，它會(huì)把自己的主要功能模塊QGuard.dll通過(guò)全局鉤子方式注入騰訊QQ進(jìn)程，并攔截QQ進(jìn)程的系統(tǒng)調(diào)用ShellExecuteExW和CreateProcessInternalW等，時(shí)刻關(guān)注Config.ini文件（隱藏功能激活文件），一旦發(fā)現(xiàn)該文件存在，將根據(jù)文件內(nèi)容進(jìn)行相關(guān)隱藏功能的激活動(dòng)作。

通過(guò)對(duì)現(xiàn)有的4個(gè)隱藏功能代碼分析，我們可以推測(cè)Config.ini文件至少存在以下4種開(kāi)關(guān)：

[Main]

DisableUpdate=1 //自動(dòng)屏蔽QQ升級(jí)，導(dǎo)致用戶不知情的情況下QQ軟件無(wú)法升級(jí)。

DisableBrowser=1 //劫持QQ對(duì)瀏覽器的啟動(dòng)并替換為360”安全”瀏覽器。

Com=<過(guò)濾的進(jìn)程文件名1>；<過(guò)濾的進(jìn)程文件名2>；……

//自動(dòng)屏蔽QQ啟動(dòng)指定鏡像名例表的進(jìn)程啟動(dòng)。

enable_repair=1 //開(kāi)啟備份QQ的參數(shù)：是否開(kāi)啟彈框引導(dǎo)用戶備份QQ軟件

MaxNotifyCount = 50 //開(kāi)啟備份QQ的參數(shù)：最多彈框次數(shù)

FirstNotify=1 //開(kāi)啟備份QQ的參數(shù)： QQ啟動(dòng)后彈框的時(shí)間(秒)

以下為扣扣保鏢QGuard.dll 進(jìn)行WINDOWS API 攔截及API攔截功能實(shí)現(xiàn)的相關(guān)代碼

扣扣保鏢在QQ IM進(jìn)程中攔截相關(guān)系統(tǒng)API后將實(shí)時(shí)監(jiān)控QQIM啟動(dòng)進(jìn)程動(dòng)作（用戶不能使用任何功能設(shè)置項(xiàng)進(jìn)行隱藏功能關(guān)閉操作）

隱藏功能一：激活后自動(dòng)屏蔽QQ軟件升級(jí)

該隱藏功能影響域：

該隱藏功能激活后，QQ的安全組件、QQ本身等軟件都不能正常更新升級(jí)（用戶毫不知情，也不會(huì)得到任何錯(cuò)誤提示），QQ軟件將變成一個(gè)“死”軟件。

以下為扣扣保鏢QGuard.dll在攔截ShellExecuteExW及CreateProcessInternalW后進(jìn)行的QQ IM啟動(dòng)升級(jí)進(jìn)程（屏蔽QQ升級(jí)）識(shí)別及屏蔽升級(jí)部分代碼。

如果發(fā)現(xiàn)啟動(dòng)的是auclt.exe、SelfUpdate.exe和QQSafeud.exe并在Config.ini文件中DisableUpdate=1則將繞開(kāi)真實(shí)系統(tǒng)調(diào)用，使QQ升級(jí)進(jìn)程啟動(dòng)失效。這些操作將對(duì)用戶沒(méi)有任何提示！

隱藏功能二：激活后根據(jù)指定進(jìn)程列表進(jìn)行QQ啟動(dòng)程序的攔截

該隱藏功能影響域：

該隱藏功能激活后，將根據(jù)360投送的Config.ini里指定的進(jìn)程名進(jìn)行QQ啟動(dòng)程序過(guò)濾。這將讓360可以非常方便進(jìn)行可控的QQ啟動(dòng)程序攔截。

扣扣保鏢還會(huì)嘗試讀取位于安裝目錄下360\360safe\360QGuard\下的Config.ini中Main主鍵下的Com字段（參照上文所述Config.ini結(jié)構(gòu)）。由于Config.ini在默認(rèn)安裝情況下不存在，在此無(wú)法得知具體需要屏蔽的進(jìn)程，但是通過(guò)分析代碼可以得知此字段為一個(gè)由“；”分割的一個(gè)進(jìn)程列表�？劭郾ｇS將攔截此列表中所有文件名相同的進(jìn)程的啟動(dòng)。

以下為QQ啟動(dòng)程序屏蔽列表部分代碼

以下為：扣扣保鏢QGuard.dll屏蔽列表讀取代碼

除此之外還會(huì)在%AppData%的配置文件UserConfig.ini中讀取component字段，其中每一項(xiàng)鏡像名其后的0和1為進(jìn)程屏蔽開(kāi)關(guān)。

%AppData%\360QGuard\UserConfig.ini內(nèi)容如下：

[component]

<要阻止的文件名及擴(kuò)展名>=0|1

隱藏功能三：激活后對(duì)QQ軟件的瀏覽器進(jìn)行劫持（替換成360瀏覽器）

該隱藏功能影響域：

該功能激活后，QQ 進(jìn)程啟動(dòng)的瀏覽器進(jìn)程（帶參數(shù)瀏覽URL方式）將被替換成啟動(dòng)360SE來(lái)進(jìn)行瀏覽（裝著360瀏覽器的情況下）。由于該功能是攔截 API實(shí)現(xiàn)，所以無(wú)論用戶設(shè)置的默認(rèn)瀏覽是什么，也不論騰訊QQ當(dāng)前選用哪個(gè)瀏覽器都將被劫持成360SE（附：該隱藏功能不單可以劫持TTraveler.exe，QQBrowser.exe，還能根據(jù)升級(jí)的配置隨時(shí)指定劫持的瀏覽器進(jìn)程名。）

這樣QQ軟件用戶聊天時(shí)帶的所有URL鏈接的瀏覽量將都被360SE獲取。

扣扣保鏢QGuard.dll攔截程序，發(fā)現(xiàn)QQ IM啟動(dòng)的程序?yàn)轵v訊的瀏覽器（TTraveler.exe和QQBrowser.exe），且Config.ini文件內(nèi)容中有DisableBrowser=1，則將QQ IM啟動(dòng)的瀏覽器自動(dòng)替換為360的瀏覽器。

除此之外，通過(guò)最后一行Call InitComponent讀取位于%AppData%的配置文件UserConfig.ini中的component項(xiàng)是否有指定名稱的鏡像名，如果發(fā)現(xiàn)也將替換為360的瀏覽器。

隱藏功能四：激活后欺騙用戶對(duì)QQ軟件進(jìn)行備份（并可做恢復(fù)操作）

該隱藏功能影響域：

該隱藏功能激活后，將根據(jù)360投送的Config.ini里配置的參數(shù)引導(dǎo)用戶備份QQ軟件到360指定目錄，并可通過(guò)扣扣保鏢進(jìn)行恢復(fù)。

在config.ini里填入以上內(nèi)容，在啟動(dòng)QQ時(shí)會(huì)出現(xiàn)以下對(duì)話框。

在這里可以禁用QQ的自動(dòng)更新功能。備份按鈕會(huì)將QQ的全部數(shù)據(jù)備份到360的配置目錄。如下圖：

相關(guān)代碼如下：

分析總結(jié)：

由于360扣扣保鏢的這4個(gè)隱藏功能針對(duì)性極強(qiáng)（針對(duì)QQ軟件）并具有：

1、在不被用戶知情的情況下進(jìn)行破壞其它軟件正常運(yùn)行的流氓軟件特性。

2、繞開(kāi)用戶控制隱蔽觸發(fā)的后門功能特性。

3、注入其它進(jìn)程，修改其正常功能運(yùn)行方式的外掛特性。

而這些技術(shù)手段通常只在木馬、后門、病毒這類惡意軟件上見(jiàn)到，在一款“以安全為名”的軟件上出現(xiàn)并針對(duì)正常軟件使用是極為罕見(jiàn)的。這也可以很好地理解為什么360讓它如此短命，騰訊為什么如此憤怒。

附：

從百度百科中查出一些公眾認(rèn)知的定義：

外掛：外掛一般是指在電腦運(yùn)行中，一個(gè)程序通過(guò)某種事件觸發(fā)而得以掛接到另外一個(gè)程序的空間里（常用的觸發(fā)事件有鍵盤觸發(fā)，鼠標(biāo)觸發(fā)，消息觸發(fā)等），掛接的目的通常是想改變被掛接程序的運(yùn)行方式。

后門功能：指繞過(guò)軟件的安全性控制而從比較隱秘的通道獲取對(duì)程序或系統(tǒng)訪問(wèn)權(quán)的方法。

流氓軟件新發(fā)展：新的流氓軟件可能并沒(méi)有捆綁插件，新的流氓行為包括故意妨礙其他同類軟件的使用，新的流氓行為包括把自己的流氓行為說(shuō)成是BUG或者好功能，以此來(lái)掩蓋自己骯臟的目的，新的流氓都精通心理學(xué)，把用戶的心理研究的透透徹徹，并利用這種心理來(lái)做利于自己的事情。

前因后果和最新情況請(qǐng)點(diǎn)擊進(jìn)入QQ/360專題報(bào)道 》》