千万QQ表情暗藏病毒 温柔背后暗藏秘密

　　真相：公开捆绑传播，被指暗藏病毒

　　在百度上搜索“QQ表情”，找到相关网页约1,660,000篇，搜索“多多QQ表情”，找到相关网页约660,000篇，通过这简单的计算，多多QQ表情拥有QQ表情市场近40%的市场占有率。那么这款有着惊人市场占有率的软件到底是一款什么样的软件呢？

　　根据其官方介绍，多多QQ表情是一款专门为腾讯QQ用户打造的免费软件,提供超炫QQ表情,点击就能导入QQ表情中,导入完毕就能在QQ聊天时使用,丰富您的对话。同时QQ表情还向软件作者和站长开出了价码，称将按0.05元一个的价格与软件捆绑，且特别声明，在安装成功后在添加删除程序中可以看到“多多QQ表情”选项，可自由卸载。

真相到底是怎样呢？在百度里，笔者发现得更多的却是和求助电话里类似的内容。见图：

  　　同时，笔者向一位做安全的朋友求助，他称，多多QQ表情虽然只有47K，而且表面上可挟载，但它确捆绑了另一个叫Update的病毒。而这已经大大超出了之前大家所定义的流氓软件的范畴，因为，在诺顿和瑞星里，大家已经将UPDATE定义成了病毒。

　　诺顿对QQ表情主程序的认定:

　　瑞星对QQ表情的认定:

　　超级兔子对多多QQ表情的认定:

对UPDATE的分析

　　显性动作

　　[SetHomePage]               Url=http://www.9991.com/

　　[PopupIE]                Url=http://www.chanet.com.cn/click.cgi?a=6606&d=3086&u=

　　[PopupIE]                Url=http://www.b2b2.net/51gg/index.html

　　[PopupIE]                Url=http://www.7mp3.com

　　[PopupIE]                Url=http://www.600001.com/

　　[PopupIE]                Url=http://www.600005.com/

　　隐性动作

　　[Actions]访问          Url=http://file.qqhelper.com/up/update.dat

　　[Update]升级          Url=http://www.yulexingkong.com/mop/uninstalldrv.exe

　　[Update]          Url=http://www.ha0l23.com/softbaby/uninstalltmp.exe

　　[Update]        　　Url=http://tongji.qqhelper.com/tj/tj?setupid=$(setupid)&mac=$(computerid)&type=$(sendflag)&version=$(version)&exeversion=$(exeversion)&setupdate=$(setupdate)

　　在机器生成以下目录以及文件：

　　C:Program FilesCommon FilesUPDATE

　　update.dat

　　update.exe

　　以上动作都是update.exe干的

　　另外生成一个目录以及文件：

　　C:Program FilesCommon FilesSAND

　　updatesr.ini

　　svr.dat

　　qqfacerclient.exe

　　twunk_8.exe

　　还没有看到具体动作，有潜伏期。

　　背后：商业动机 弹出全球百强网站

　　多多QQ表情敢于挑战法律，公开捆绑恶性病毒，目的何在呢？笔者随后又对其展开了进一步的调查。首先，笔者打开了其弹出的第一个网站9991的链接，吃惊的发现，这家成立于2005年10月第二个星期的网站，在ALEXA里的排名居然已经上升到了全球前100名。如果按照其REACH值1万来推算，其流量已经达到了新浪的七分之一。