权威证实360软件暗藏四后门 可窃取用户信息

  [导读]第三方反病毒机构瑞星报道证实，扣扣保镖除了界面上的可见功能以外，还存在屏蔽QQ软件升级、劫持腾讯浏览器、屏蔽QQ启动的特定进程列表、骗取QQ用户备份信息等4个隐藏的功能，用户无法控制。

  腾讯科技讯 北京时间11月5日消息，国内知名第三方反病毒机构瑞星最新发布的技术分析报告证实，扣扣保镖除了拥有其宣称的11大类可见功能之外，至少还存在4个隐藏功能，这些功能仅针对QQ，且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态，并且可由360公司远程开启。

  昨日，曾有媒体报道扣扣保镖存在四大后门技术，可以随时远程开启。但360对此矢口否认。如今终于得到来自第三方反病毒机构瑞星铁一般的证实。

  以下是报告全文：

  360扣扣保镖为何激怒腾讯？

  ----瑞星第三方独立研究报告(一)

  2010年10月29日，360公司在京宣布，推出一款名为“扣扣保镖”的安全工具，全面保护QQ用户的安全。该工具包括防止隐私泄漏、防止木马盗取QQ账号以及给QQ加速等功能。360称，扣扣保镖默认不修改QQ任何设置，所有功能都必须由用户主动选择触发，并可随时启用和恢复。

  瑞星研发部门通过对扣扣保镖(1.0.0.1004版本)主要功能实现模块QGuard.dll进行分析：发现该软件除了拥有其宣称的11大类可见功能之外，至少还存在4个隐藏功能，这些功能仅针对QQ，且都具有用户不可见、不可控制等特性。这些隐藏功能随时处于活动状态，并且可由360公司远程开启。

  扣扣保镖4个隐藏功能详细分析

  扣扣保镖除了界面上的可见功能以外，还存在屏蔽QQ软件升级、劫持腾讯浏览器、屏蔽QQ启动的特定进程列表、备份并恢复QQ软件等4个隐藏的功能，它们均由Config.ini文件进行开关控制。经分析，该控制文件在扣扣保镖安装包中并没有提供，安装后也不会自动生成，只可能由360 “云服务器”直接进行远程投递(或用户可以手动生成激活隐藏功能)。也就是说，用户对于这些隐藏功能均无法控制，而且不了解其激活和生效情况。

  技术细节：

  用户使用扣扣保镖(1.0.0.1004版本)时，它会把自己的主要功能模块QGuard.dll通过全局钩子方式注入腾讯QQ进程，并拦截QQ进程的系统调用ShellExecuteExW和CreateProcessInternalW等，时刻关注Config.ini文件(隐藏功能激活文件)，一旦发现该文件存在，将根据文件内容进行相关隐藏功能的激活动作。

  通过对现有的4个隐藏功能代码分析，我们可以推测Config.ini文件至少存在以下4种开关：

  [Main]

  DisableUpdate=1 //自动屏蔽QQ升级，导致用户不知情的情况下QQ软件无法升级。

  DisableBrowser=1 //劫持QQ对浏览器的启动并替换为360”安全”浏览器。

  Com=<过滤的进程文件名1>;<过滤的进程文件名2>;……

  //自动屏蔽QQ启动指定镜像名例表的进程启动。

  enable_repair=1 //开启备份QQ的参数：是否开启弹框引导用户备份QQ软件

  MaxNotifyCount = 50 //开启备份QQ的参数：最多弹框次数

  FirstNotify=1 //开启备份QQ的参数： QQ启动后弹框的时间(秒)

  分析总结：

  由于360扣扣保镖的这4个隐藏功能针对性极强(针对QQ软件)并具有：

  1、在不被用户知情的情况下进行破坏其它软件正常运行的流氓软件特性。

  2、绕开用户控制隐蔽触发的后门功能特性。

  3、注入其它进程，修改其正常功能运行方式的外挂特性。

  而这些技术手段通常只在木马、后门、病毒这类恶意软件上见到，在一款“以安全为名”的软件上出现并针对正常软件使用是极为罕见的。这也可以很好地理解为什么360让它如此短命，腾讯为什么如此愤怒。

  附：

  从百度百科中查出一些公众认知的定义：

  外挂：外挂一般是指在电脑运行中，一个程序通过某种事件触发而得以挂接到另外一个程序的空间里(常用的触发事件有键盘触发，鼠标触发，消息触发等)，挂接的目的通常是想改变被挂接程序的运行方式。

  后门功能：指绕过软件的安全性控制而从比较隐秘的通道获取对程序或系统访问权的方法。

  流氓软件新发展：新的流氓软件可能并没有捆绑插件，新的流氓行为包括故意妨碍其他同类软件的使用，新的流氓行为包括把自己的流氓行为说成是BUG或者好功能，以此来掩盖自己肮脏的目的，新的流氓都精通心理学，把用户的心理研究的透透彻彻，并利用这种心理来做利于自己的事情。