火绒称QQ推广电脑管家类似病毒,马化腾出面道歉

2017-12-26 09:12:58 来源: 网易科技 网易号 举报
0
分享到:
T + -

腾讯电脑管家致歉:确实有伤害用户体验之处

网易科技讯12月26日消息,腾讯电脑管家今日就遭遇火绒软件拦截做出回应,称近期的推荐确实出现了不合理甚至伤害用户体验之处,向用户致歉、并将对相关负责人进行处罚。

腾讯电脑管家表示,对火绒软件表示感谢,并欢迎监督。

而马化腾在朋友圈回应称,“自查了,确实是我们团队违规出问题了,以严格要求整改处理和道歉!”

腾讯电脑管家致歉:不合理推广确实伤害用户体验

致歉声明

12月25日,火绒软件发布说明,对腾讯向用户推荐安装腾讯电脑管家、QQ浏览器的行为进行拦截。经核实,近期在对腾讯电脑管家和QQ浏览器的推荐中,确实出现了不合理甚至伤害用户体验之处,我们已于第一时间全部进行下线处理。在此,我们向广大用户深表歉意,并将对相关责任人进行处罚。

腾讯坚持为用户提供便捷软件工具服务同时,致力于坚守用户体验和信息安全,绝不姑息任何有违用户价值的行为。感谢火绒软件,并欢迎广大用户和机构的监督。

腾讯电脑管家

相关阅读:

关于火绒拦截腾讯产品的说明

近日,我们收到许多用户反馈,火绒对腾讯官方程序进行报毒、自动拦截等处理,并因此怀疑火绒产品误杀、误报,现就该问题说明如下。

火绒产品之所以拦截腾讯相关产品安装,并且将其中某个模块当病毒处理,是因为腾讯QQ在推广“QQ浏览器”和“腾讯安全管家”的过程中,除了常见的欺骗、诱导之外,还存在功能严重越位、技术手段严重超常规(和某些病毒的行为一致)等问题。

因此火绒并没有误杀、误报,请广大用户看到火绒产品的拦截提示时,放心地阻止即可。需要强调的是,火绒不会影响QQ、QQ浏览器、腾讯安全管家等产品的正常运行,只是阻止其捆绑推广过程中的过激的侵权行为。

对于这些打扰用户、侵害用户权益的商业软件侵权行为,目前全球安全行业惯例都是按照病毒处理,国外安全软件也会同样处理。

根据“火绒威胁情报系统”的监测,从11月底开始,腾讯QQ用上述方法大规模推广“QQ浏览器”,之后又同时推”腾讯电脑管家”。据测算,近一个多月来,每天有数百万乃至上千万安装了QQ的电脑,受到此类侵权行为的骚扰。

详细分析报告如下:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

推广弹窗(1)

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

推广弹窗(2)

据火绒安全团队分析,当用户电脑启动QQ后,会通过名为 “QQ安全防护进程(Q盾)”的保护程序释放病毒“TrojanDownloader/Popeng.a”,随后用户就会收到腾讯的推广弹窗。一旦用户点击,上述软件就会立刻被安装到用户电脑。该程序具有很强的隐蔽性,在整个推广过程中,“TrojanDownloader/Popeng.a”会检测用户电脑中是否安装了 “360安全卫士”,若检测到,推广行为就会终止。此外,“TrojanDownloader/Popeng.a”还能随时接受远程“云控”指令,决定推广软件内容,以及是否继续实施推广。

据“火绒威胁情报系统”监测,该推广行为从今年11月末就已开始,并在持续加大推广力度。

本着对用户负责的宗旨,“火绒安全软件”针对病毒及静默安装的程序进行拦截报毒,不会删除用户下载的原始程序,请广大用户放心。

如上两幅图,分别为QQ推广的两个不同版本弹窗,第二组推广程序疑似为第一组程序的升级版。推广程序升级之后,不光界面进行了更改,推广行为的隐蔽性也有所加强。在推广软件上,第一组推广程序仅用来推广QQ浏览器,而第二组主要推广电脑管家,同时我们也在第二组程序资源中发现了QQ浏览器相关的推广资源(见图(2)红框部分)。第二组程序推广行为,如下图所示:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

推广行为

进程树如下图所示:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

推广程序进程树

上述推广行为是由QQProtect.exe程序触发,虽然该程序的文件描述为“QQ安全防护进程(Q盾)”,但是却后台进行弹窗推广。文件属性,如下图所示:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

QQProtect.exe文件属性

火绒拦截日志,如下图所示:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

火绒拦截日志

第一组推广程序,由QQProtect.exe进程触发,调用QQUpdPlugin.dll下载远程xml推广数据,远程请求到的xml数据可以“云控”推广内容。xml数据如下图所示:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

xml推广数据

获取到xml数据之后,程序会根据红框中所示的downloadfile标签url属性将最终的推广弹窗程序下载到” %temp%\dlqltps.exe”目录中进行执行,该程序注入explorer后,用explorer进程启动vfsti.exe弹出诱导推广弹窗。行为如下图所示:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

推广行为

第二组推广程序,推广流程更加复杂且更为隐蔽。推广流程还是由QQProtect.exe进程触发,首先会下载执行“MOXD1218.EXE”(简称为MOXD程序),在该程序的资源中包含有一个可执行程序(XFIXER.exe)和两个动态库(qfaydtc.dll和dzor.dll)。

文件资源,如下图所示:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

文件资源

代码如下图所示:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

资源释放相关代码

XFIXER.exe会被注册成COM接口,MOXD程序调用COM接口后,会由svchost进程启动资源中包含的可执行程序XFIXER.exe。调用代码如下图所示:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

相关逻辑代码

在执行完COM接口调用之后,MOXD程序会尝试删除之前注册的COM接口注册表项和自身文件。代码如下图所示:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

相关逻辑代码

该程序启动后会调用qfaydtc.dll动态库,解析“云控”xml推广数据后,最终下载执行推广弹窗程序。虽然推广弹窗程序下载至本地后的文件名近期进行过更改(开始为“TESSFE.EXE”后来变为“MODULE11.exe”),但是推广弹窗程序逻辑未出现变动。xml推广数据,如下图所示:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

xml推广数据

如果用户点击弹窗中的关闭按钮后,MODULE11.exe程序会被重命名为“.tmp”后缀的文件。如下图中的9.tmp、A.tmp和B.tmp:

火绒称腾讯qq存在功能越位行为 并进行了报毒拦截

文件列表

白鑫 本文来源:网易科技 责任编辑:白鑫_NT4464
分享到:
跟贴0
参与0
发贴
为您推荐
  • 推荐
  • 娱乐
  • 体育
  • 财经
  • 时尚
  • 科技
  • 军事
  • 汽车

西部战区就中方1名士兵在中印边境地区迷路走失发表谈话

新闻 中印
|
解放军报
11小时前
11721 跟贴11721

空军双语警告驱离外机现场画面公开!

新闻 战机 外军
|
央视新闻客户端
10小时前
167 跟贴167

“有义务吗?”男子拒让靠窗女子入座还如此狡辩,官方回应

新闻 乘警 霸座
|
央视新闻客户端
10小时前
7028 跟贴7028

中国前三季度经济数据公布,CNN:中国经济被全世界羡慕了!

新闻 中国 cnn
|
环球网
10小时前
77 跟贴77

云南男子离婚路上把妻子扔下桥,涉嫌故意杀人已被批捕

新闻 离婚 强奸罪
|
澎湃新闻
17小时前
42750 跟贴42750

南京高校黑人留学生强奸中国女学生?校方辟谣

新闻 学校 南京审计大学
| 新京报
21小时前
39171 跟贴39171

湖北高院:副院长张忠斌办公室自缢身亡 患病长期服药

新闻 高院 自缢
|
湖北高院
2小时前
0 跟贴0

甘肃两名大学生实习期间死亡,家属称警方告知系烧炭自杀

新闻 实习 薛先生
| 新京报
16小时前
946 跟贴946

外媒:美国又宣布将6家中企和2名个人列入黑名单

新闻 美国 国务卿
|
环球网
2小时前
2797 跟贴2797

钟南山:经受长假考验 疫情得到很好控制

新闻 钟南山 中国工程院院士
|
央视新闻客户端
10小时前
64 跟贴64

美国政府监管机构将调查特朗普对公共卫生机构的干预

新闻 唐纳德·特朗普 美国政府
|
央视新闻客户端
7小时前
448 跟贴448

快讯!印度宣布:澳大利亚将参与美日印海上联合军演

新闻 军演 联合军演
|
环球网
13小时前
183 跟贴183

习近平在参观“铭记伟大胜利 捍卫和平正义——纪念中国人民志愿

新闻 习近平 抗美援朝
|
央视网
13小时前
6555 跟贴6555

3500万存款"不翼而飞" 银行未能发现 赔了1400万

新闻 银行 存款
| 正义网
17小时前
17679 跟贴17679

初心印记 | “1微克蓝”背后有一张美丽答卷

新闻 习近平 总书记
|
央视网
2小时前
22 跟贴22

两名大陆外交官把台湾代表打成"脑震荡"?官方回应

新闻 胡锡进 斐济
| 海外网
22小时前
5731 跟贴5731

上升至9人死亡!黑龙江鸡西酸汤子中毒事件唯一幸存者去世

新闻 黑龙江 鸡西
|
红星新闻
20小时前
0 跟贴0

西安警方通报“一嫌犯制造两起凶杀案致4人死亡后跳楼自杀”:与

新闻 犯罪 跳楼
|
界面新闻
2小时前
200 跟贴200

突然爆雷!这家著名教育培训机构"凉了":总部人去楼空,有家长交

新闻 犯罪 跳楼
|
界面新闻
2小时前
257 跟贴257

女面试官问我:“我裤子拉链拉开了你怎么提醒我?”

新闻 面试 应聘者
| 胖编心头好
1天前
4402 跟贴4402

轻松一刻:愚公"偷"山!小偷来回2400次偷1200斤玉米

新闻 警察 玉米
| 轻松一刻
17小时前
6154 跟贴6154

亚美尼亚国防部:阿塞拜疆昨日在纳卡地区发动坦克攻击

新闻 阿塞拜疆 亚美尼亚
|
界面新闻
20小时前
175 跟贴175

为什么商场的按摩椅上长满了年轻人?

新闻 按摩 养生
| 网易谈心社
17小时前
17 跟贴17

听特朗普大儿子如此“抗中挺印” 印媒集体激动了

新闻 特朗普 中国
|
环球时报-环球网
13小时前
1271 跟贴1271

日本同意对越出口军事装备和技术

新闻 日本 越南
|
界面新闻
19小时前
4102 跟贴4102

“战机挂弹道导弹”将成大国标配?

新闻 弹道导弹 导弹
|
环球网
1小时前
0 跟贴0

黑龙江鸡西"酸汤子"中毒事件死亡人数上升至9人

新闻 汤子 黑龙江
|
央视新闻
20小时前
14818 跟贴14818

警方:44岁孙某在广州地铁猥亵女性,已被拘留!

新闻 猥亵 拘留
|
南方PLUS
1天前
23 跟贴23

中国纪检监察杂志社论 | 决胜脱贫攻坚擦亮“人民至上”鲜明底色

新闻 脱贫 扶贫
|
中国纪检监察杂志
2小时前
2 跟贴2

湖北高院副院长张忠斌办公室自缢身亡 已排除刑案

新闻 张某斌 高级人民法院
| 新京报
2小时前
14064 跟贴14064

传上海野生动物园一饲养员被群熊撕咬 官方:已遇难

新闻 上海野生动物园 车入区
|
上游新闻
1天前
2780 跟贴2780

前任书记溺亡后 刘强接任成都大学党委书记

新闻 刘强 成都大学党委
|
锦观新闻
1天前
70044 跟贴70044

实拍!美国阿拉斯加7.5级地震:警报声响彻全岛

新闻 地震 阿拉斯加
|
海客新闻
4小时前
10 跟贴10

林志玲术后近照曝光:下嫁日本男星后 她终于崩溃了?

新闻 林志玲 小s
| 前娱后浪
1天前
1374 跟贴1374

特朗普痛批福奇,他是“灾难”,人们厌倦了他的言论

新闻 唐纳德·特朗普 福奇
|
中国日报
7小时前
1 跟贴1

江苏师大肺结核疫情“风暴眼”:79人班级只剩30多人上课

新闻 肺结核 传染病
|
澎湃新闻
14小时前
726 跟贴726

深航ZH9247攀枝花机场遇险着陆初步调查结果出炉:前后两架飞机均

新闻 备降 着陆
|
川观新闻
13小时前
185 跟贴185

饲养员被咬身亡的动物园 曾有游客“骑虎拍照”遭咬

新闻 动物园 饲养员
|
封面新闻
20小时前
1244 跟贴1244

安倍披露东京奥运延期“内幕”:事先征得特朗普同意

新闻 安倍晋三 唐纳德·特朗普
| 海外网
1小时前
77 跟贴77

美国超远程大炮能从太平洋打到北京上海?

新闻 导弹 美国
|
环球网
1小时前
0 跟贴0
+ 加载更多新闻
×

【TED】快节奏世界的反思

热点新闻

态度原创

网易号

查看全部
阅读下一篇

返回网易首页 返回科技首页