腾讯电脑管家被火绒报毒病毒程序源码分析报告

腾讯电脑管家最近的报毒事件引起关注，本身就具有查毒功能的软件也报毒？真是天大的笑话，根据“火绒威胁情报系统”的监测，从11月底开始，腾讯QQ用上述方法大规模推广“QQ浏览器”，之后又同时推”腾讯电脑管家”。据测算，近一个多月来，每天有数百万乃至上千万安装了QQ的电脑，受到此类侵权行为的骚扰。

详细分析报告如下：

推广弹窗(1)

推广弹窗(2)　　据火绒安全团队分析，当用户电脑启动QQ后，会通过名为 “QQ安全防护进程(Q盾)”的保护程序释放病毒“TrojanDownloader/Popeng.a”，随后用户就会收到腾讯的推广弹窗。一旦用户点击，上述软件就会立刻被安装到用户电脑。该程序具有很强的隐蔽性，在整个推广过程中，“TrojanDownloader/Popeng.a”会检测用户电脑中是否安装了 “360安全卫士”，若检测到，推广行为就会终止。此外，“TrojanDownloader/Popeng.a”还能随时接受远程“云控”指令，决定推广软件内容，以及是否继续实施推广。

据“火绒威胁情报系统”监测，该推广行为从今年11月末就已开始，并在持续加大推广力度。

本着对用户负责的宗旨，“火绒安全软件”针对病毒及静默安装的程序进行拦截报毒，不会删除用户下载的原始程序，请广大用户放心。

如上两幅图，分别为QQ推广的两个不同版本弹窗，第二组推广程序疑似为第一组程序的升级版。推广程序升级之后，不光界面进行了更改，推广行为的隐蔽性也有所加强。在推广软件上，第一组推广程序仅用来推广QQ浏览器，而第二组主要推广电脑管家，同时我们也在第二组程序资源中发现了QQ浏览器相关的推广资源(见图(2)红框部分)。第二组程序推广行为，如下图所示：

推广行为　　进程树如下图所示：

推广程序进程树　　上述推广行为是由QQProtect.exe程序触发，虽然该程序的文件描述为“QQ安全防护进程(Q盾)”，但是却后台进行弹窗推广。文件属性，如下图所示：

QQProtect.exe文件属性　　火绒拦截日志，如下图所示：

火绒拦截日志　　

第一组推广程序，由QQProtect.exe进程触发，调用QQUpdPlugin.dll下载远程xml推广数据，远程请求到的xml数据可以“云控”推广内容。xml数据如下图所示：