【问题现象】
登录QQ后好友列表里面出现了陌生好友,或者出现弹出加好友验证码操作
【导致原因】
网上有广告商到处找软件厂商做该业务,收益方式是每1000粉丝XX元的回报。目前包括某些去广告、破解软件、知名系统包、增值联盟、活跃在黑市的终端、甚至监管软件等等都有参与进来。这里真的不想吐槽了。只想说一句这已经不是单纯的增值广告行为!
【思路分析1】
出现该问题的时候用PChunter工具查看qq.exe下是否有twain_64.dll注入(或者twain_32.dll),explorer.exe下是否有SearchInd.dll注入
twain_64.dll原理,通过hook showwindow模拟加人操作
SearchInd.dll原理,注入explorer监控QQ进程后执行jiaqq参数将twain_64.dll注入
看不清楚图的点击图片链接
【思路分析2】
利用腾讯的加好友接口完成操作
看不清图片的可以点击链接查询http://image.cnit.net.cn/2016/04/201604077451_2557.jpg
【解决办法】
1、检查客户机是否存在这个服务,有的话删除或禁用,记住是看执行程序msnetcache.exe就删除,不是看PeerDistSvc,这个服务大家都有,但是这个执行程序就不对了。
2、目前SearchInd.dll、twain_64.dll活动轨迹在C:\Windows目录内,换句话说就是做假体免疫!
免疫方法可以参考批处理课堂
3、使用深蓝维护通道或者组策略将两个dll文件彻底禁用,操作方法请参考教程!
4、禁止腾讯加好友进程Timwp.exe运行,可以用网维大师9020进程禁或深蓝维护工具或组策略禁止
(感谢网友叛逆猛禽提供)
【备注】
其实大家都是为了赚钱,追求利润这点没错。但是也得考虑下市场反馈!最近平均每天几十上百起投诉,以后遇到这种问题只会发现一起公布一起,因为当我退缩的话给这个行业带来的只有是投诉、谩骂!
特别感谢:环境提供者A QQ18******(云更新+过滤王+万象) B QQ15*****(网维大师+过滤王+嘟嘟牛) C QQ27******(网维大师+过滤王+Pubwin)
dll样本,用于组策略禁止 http://pan.baidu.com/s/1c8x1wE
本文由顺网小哥原创,尊重他人劳动成果转载他处请注明原作者声明
2022年01月09日
2021年08月21日
2021年05月11日
2021年05月11日
2021年05月11日