网吧营销大师投放“QQ部落刷粉”病毒

摘要

随着互联网的普及，安全软件查杀能力的提升，许多灰产甚至黑产都将战场转向了安全性较低的网吧。近日，渔村安全团队监测到有QQ广告病毒通过网吧营销大师进行传播，给渠道商刷“QQ 兴趣部落”关注粉，并在QQ空间分享发送大量垃圾广告。

传播渠道

本次QQ兴趣部落刷粉病毒主要是在安装杀软率较低的网吧进行传播。根据检测报告显示，日感染量峰值5K，而实际感染量可能远超目前监测到的情况。

样本分析

报告中涉及到的样本病毒MD5:

• md5-1:925ad8603b6d94e54c9db4dcb0175011 分享广告发送- md5-2:e64d8fb57629483541a6f9c84278ba8a 定时发送垃圾邮件- md5-3:BF6A1AB3F19FC72863D98C01544B5755 自动关注兴趣部落

流程图

0x1.母体实际是一个下载程序,首先检测当前电脑环境是否有QQ 进程在，如果存在QQ进程，则通过访问http://222.187.223.201:81/qqbuluo/check.txt 读取内容进行解密并下载b1.exe，运行完b1.exe后至此母体的工作完成。

0x2. b1.exe通过:”http://222.187.223.201:81/qqbuluo/blconfig.txt” 获取到配置文件信息,得到需要关注的兴趣部落ID号和统计上报用的网址。

未解密的网页原数据：

解密以后的明文数据：

0x3.b1.exe打开兴趣部落的登录网页,利用 QQ在线时可以快速登录的机制获取到登录以后网页的cookie,然后通过模拟网页关注按钮的方式实现关注兴趣部落.

0x4.最后统计上报QQ号码，部落ID 号，和mac地址 http118.178.34.68/mywwwbuluo/bl check.php?tjqq=&bqq=&mac=

整个家族

根据VirusTotal的查询和分析该服务器下还有各种类似QQ病毒，作者并且一直在更新它们以达牟利。它们分别是 :

1. QQ垃圾邮件发送

2. QQ**分享广告发送**

图:运行病毒后，将广告分享到QQ空间

图 : 运行病毒后，将广告垃圾定时发给其他好友

盈利模式

根据市场价格，均价在 90元=1000个关注,175元 =2000个关注 ,340元=4000 个关注（数据来自猪八戒网 )。

总结

网吧与个人电脑环境不同，请勿在网吧随意登陆社交软件，避免造成不必要的影响。