内网通杀!腾讯QQPC端可被利用植入后门,新版未测,可审计0day
发布网友
发布时间:2024-10-02 02:46
我来回答
共1个回答
热心网友
时间:2024-10-17 20:02
火绒发现了腾讯QQ升级漏洞被攻击者利用,植入后门病毒的事件。攻击者能通过该漏洞下发任意恶意代码。
漏洞影响范围广泛,涉及QQ、TIM、QQ轻聊版、QQ国际版等多个版本。尽管该漏洞在2015年已公开披露并修复,但直至2019年8月10日,升级逻辑仍存在逻辑漏洞。
在登录成功后约10分钟,QQ会主动向服务器POST投递某个模块要求更新。攻击者若劫持了此过程,伪造xml文档插入,即可导致任意exe文件被下载并执行,无需任何校验。
QQ仅通过xml描述校验文件合法性,未对exe文件本身进行数字签名校验。攻击者在xml文档中指定zip包下载地址、MD5校验值与大小,符合条件后,下载自动解包并运行病毒程序“txudp.exe”。
火绒分析结果显示,攻击者下载并执行的病毒程序为“txudp.exe”,向指定服务器POST请求更新,下载并运行包含病毒的压缩包“qq.zip”,压缩包内为名为“txudp.exe”的病毒程序。
病毒程序通过无效的URL下载,却通过劫持网络请求,成功下载病毒压缩包并执行。QQ升级模块存在逻辑漏洞,仅有一处内容校验,下载压缩包后验证MD5值,执行压缩包中的“txupd.exe”。
恶意病毒为后门病毒,收集用户计算机信息并上传至C&C服务器,具备屏幕截图与远程命令执行功能。针对此事件,建议用户尽快更新到最新版本,防范攻击与中间人劫持。