今天刚刚qq电脑管家弹窗提醒我多玩yy需要升级,于是果断升级,但是我发现了一个严重问题。经过三次还原测试,全部重现。百度网盘下载从QQ软件管理中得到的这个假冒的YY安装程序:[url=http://pan.baidu.com/share/link?shareid=2197580313&uk=1091360162]http://pan.baidu.com/share/link?shareid=2197580313&uk=1091360162[/url]
这个程序并没有YY的数字签名证明可能不是YY官方发行的
[attachment=8440438]
1、首先我们在qq软件管理中下载yy
[attachment=8440404]
2、我们在桌面新建一个IE的快捷方式,命名Internet Explorer
[attachment=8440329]
3、先看一下这个IE快捷方式的属性
[attachment=8440341]
4、开始运行安装,首先,这个安装界面有问题,第一,当对象中鼠标点燃会引发对象的渐变,这是多玩yy官方设计的一个特效。但是这个程序不存在,且这个程序设计的极其粗糙,经过鉴定为易语言程序。第二,窗口无法拖动。第三,多玩yy好像没有**到捆绑这东西吧?
[attachment=8440332]
5、我们点安装,瞬间,我们发现桌面的IE快捷方式变了!而且图标也变成了IE8风格,矮油,这是在欺负我老眼昏花不知道Windows8不支持IE8么?
[attachment=8440386]
6、我们查看一下这个文件的属性
[attachment=8440436]
7、很显然已经被指向了这个63523.net域名,现在访问会跳转到一个hao123的推广url,为301重定向。可是,我们似乎并没有选择那两个多选框,这实际上是流氓行为
8、我们还发现,C:\Program Files(x86)\YY6.10这个文件夹并不是多玩YY的安装文件夹,而实际上……
[attachment=8440388][attachment=8440435]
9、你没有看错,这个程序没有多玩yy的数字签名,运行后会将一些文件释放到YY6.10这个文件夹中,并且这个文件夹有91wan、设置IE主页等图标、可执行程序、YY原版的可执行程序
10、而这里面有一个YY.exe数字签名正常说明文件没有被篡改(木马还是有点良心的)。从数字签名中我们发现,多玩yy在10月15日并没有更新版本,这个版本是10月12日的,说明了什么请自行思考……
同时,我们将这个假冒的YY6.10文件打包,放到了百度网盘,可以自行分析:[url=http://pan.baidu.com/share/link?shareid=2202068555&uk=1091360162]http://pan.baidu.com/share/link?shareid=2202068555&uk=1091360162[/url]
[attachment=8440437]
11、证据:从YY的关于界面中我们也看到,这个6.10.0.2版本并不是15日发行的,与数字签名日期吻合,为10月12日发行
[attachment=8440387]
[ 此帖被在2014-10-11 18:12重新编辑 ]