腾讯QQ/TIM全系列产品升级程序存在漏洞 被攻击者植入病毒推送给用户

火绒安全团队最新发布消息称根据用户反馈监测到有攻击者利用腾讯QQ/TIM 升级程序存在的漏洞展开攻击。

这枚漏洞存在于腾讯QQ普通版本、QQ轻聊版、QQ国际版以及TIM版中 ,   漏洞可能会影响数以亿计的用户。

鉴于影响面较大火绒安全团队暂未透露漏洞的具体细节,待腾讯对各个产品线进行修复后再公布漏洞的详情。

腾讯QQ/TIM全系列产品升级程序存在漏洞 被攻击者植入病毒推送给用户

2015年的漏洞未被彻底修复:

据查这枚漏洞实际上腾讯在多年前已经发现并在当时进行修复,只是现在看来这个漏洞的修复还存在着问题。

当年腾讯针对这枚升级漏洞增加数据校验逻辑,不过经检查这个升级过程依然存在逻辑错误因此被黑客利用。

也正是如此不知道什么时候有黑客发现这枚漏洞并进行攻击,当前除火绒外也没有其他安全公司监测到攻击。

目前尚不清楚具体已经有多少用户遭遇类似的攻击,不过如果近期腾讯推出新版本建议大家尽快进行升级等。

腾讯QQ/TIM全系列产品升级程序存在漏洞 被攻击者植入病毒推送给用户

火绒团队在实验室复现漏洞,利用漏洞打开计算器

主要靠路由器劫持投放病毒:

火绒安全团队分析后发现这个漏洞利用过程不涉及本地存在的劫持,大概率是运营商劫持或者路由劫持投毒。

而用户给出的反馈是路由器曾经刷过第三方的固件,火绒工程师由此向路由器劫持方向跟进并追查劫持线索。

追踪过程中火绒团队发现当腾讯QQ系列发送升级请求后,其请求地址遭到劫持并下载 txudp.exe 的病毒包。

这个病毒包名称实际与腾讯官方的升级程序名称相同,但用户如果轻信并执行的话则电脑就会被感染上病毒。

经过分析火绒工程师发现是路由器劫持腾讯QQ的升级网址,然后直接向用户下发伪造的 txudp.exe 程序包。

腾讯QQ/TIM全系列产品升级程序存在漏洞 被攻击者植入病毒推送给用户

腾讯此前的修复仍存在漏洞:

正常情况下的升级逻辑是将本地软件的版本信息发送给服务器,之后服务器按照版本信息下发对应的升级包。

而在这个过程中腾讯此前修复会增加升级内容的校验,只要校验通过后就会解压指定的压缩包并执行其程序。

由于存在漏洞黑客制作的病毒包可通过校验,因此在劫持下发包后腾讯便按照预设流行自动解压并按照病毒。

最终用户可能在完全不知情的情况下遭到病毒的感染,估计用户也不可能想到竟然是QQ 升级带来的病毒等。

腾讯QQ/TIM全系列产品升级程序存在漏洞 被攻击者植入病毒推送给用户

感染病毒后用户沦为肉鸡:

黑客制作的这个病毒包功能丰富,会自动收集设备信息例如计算机名称、账户名称、系统版本等上传服务器。

病毒具备抓取屏幕截图的功能并且还可以远程执行任意命令,这意味着攻击者可以继续向用户安装更多病毒。

据检查病毒的远程服务器位于贵州遵义 (111.122.86.7) 和毕节 (111.120.23.23),两台服务器均为电信线路。

由于暂时样本不够还无法知晓黑客的具体目的是什么,不过对于用户来说沦为肉鸡后也就没有任何安全可言。

腾讯QQ/TIM全系列产品升级程序存在漏洞 被攻击者植入病毒推送给用户

谨慎使用第三方路由器固件:

在这次事件中攻击者主要使用路由器进行劫持,而用户使用的本身是第三方提供的路由器固件非官方版固件。

既开发路由器固件进行劫持又知道利用腾讯QQ 未披露漏洞,想必病毒团伙应该是提前知道腾讯存在的漏洞。

很难说现在地下黑市里这枚漏洞是否已经在大量流传,不过最终攻击者还需要能够劫持腾讯升级地址才能行。

如果没法利用运营商进行劫持的话也只有通过路由器、DNS或者网络发动攻击,相对来说执行起来并不容易。

也正是如此大家在刷路由器固件时也要谨慎选择,尽量使用那些知名度较高并且已经开源的固件防止带病毒。

本文来源 火绒安全实验室,由 山外的鸭子哥 整理编辑,其版权均为 火绒安全实验室 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
1

评论:

11 条评论,访客:11 条,站长:0 条
  1. 萝卜头
    萝卜头发布于: 
    QQbrowser QQbrowser Android 10 Android 10

    吓人。。,

  2. liangpi
    liangpi发布于: 
    Chromium Edge 78.0.244.0 Chromium Edge 78.0.244.0 Windows 10 64位版 Windows 10 64位版

    大名鼎鼎的憨批腾讯 从来都没把一个软件做到最好 老是留一些后门啦 bug啦,只知道疯狂吸金
    游戏我就不说了,现在连QQ都是 唉 麻花腾家的东西真的质量堪忧

  3. iruanmi
    iruanmi发布于: 
    Google Chrome 74.0.3729.169 Google Chrome 74.0.3729.169 Windows 10 64位版 Windows 10 64位版

    还好我使用第三方版本QQ PC版。
    根本不存在升级程序。也早已屏蔽升级。

  4. ytoworld
    ytoworld发布于: 
    Google Chrome 76.0.3809.111 Google Chrome 76.0.3809.111 Android 9 Android 9

    推荐用Sandboxie沙盒运行一切有系统权限的普通软件,挺稳的,有病毒都没事。

  5. 光头哥
    光头哥发布于: 
    Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Windows 10 64位版 Windows 10 64位版

    路由器劫持,下发假的升级程序,正好碰到腾讯这个憨憨不校验,路由器劫持也是很关键的一步,刷第三方固件的小心了。

  6. 小吴同学
    小吴同学发布于: 
    Google Chrome 76.0.3809.100 Google Chrome 76.0.3809.100 Windows 10 64位版 Windows 10 64位版

    梅林固件瑟瑟发抖

  7. 明月登楼
    明月登楼发布于: 
    Google Chrome 76.0.3809.100 Google Chrome 76.0.3809.100 Windows 10 64位版 Windows 10 64位版

    腾讯在后台太多不可告人的动作了!被人利用了吧!

  8. whh666
    whh666发布于: 
    Firefox 70.0 Firefox 70.0 Mac OS X 10.14 Mac OS X 10.14

    不知道影不影响苹果

    • Haa
      Haa发布于: 
      Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Mac OS X 10.14.6 Mac OS X 10.14.6

      极小概率

  9. JerryCoolEr
    JerryCoolEr发布于: 
    Google Chrome 76.0.3809.100 Google Chrome 76.0.3809.100 Windows 10 64位版 Windows 10 64位版

    这个服务还不能禁

发表评论