火絨安全團隊最新發布消息稱根據用戶反饋監測到有攻擊者利用騰訊QQ/TIM 升級程序存在的漏洞展開攻擊。

這枚漏洞存在於騰訊QQ普通版本、QQ輕聊版、QQ國際版以及TIM版中 , 漏洞可能會影響數以億計的用戶。

鑑於影響面較大火絨安全團隊暫未透露漏洞的具體細節，待騰訊對各個產品線進行修復後再公佈漏洞的詳情。

2015年的漏洞未被徹底修復：

據查這枚漏洞實際上騰訊在多年前已經發現並在當時進行修復，只是現在看來這個漏洞的修復還存在著問題。

當年騰訊針對這枚升級漏洞增加數據校驗邏輯，不過經檢查這個升級過程依然存在邏輯錯誤因此被黑客利用。

也正是如此不知道什麼時候有黑客發現這枚漏洞並進行攻擊，當前除火絨外也沒有其他安全公司監測到攻擊。

目前尚不清楚具體已經有多少用戶遭遇類似的攻擊，不過如果近期騰訊推出新版本建議大家儘快進行升級等。

火絨團隊在實驗性復現漏洞，利用漏洞打開計算器

主要靠路由器劫持投放病毒：

火絨安全團隊分析後發現這個漏洞利用過程不涉及本地存在的劫持，大概率是運營商劫持或者路由劫持投毒。

而用戶給出的反饋是路由器曾經刷過第三方的固件，火絨工程師由此向路由器劫持方向跟進並追查劫持線索。

追蹤過程中火絨團隊發現當騰訊QQ系列發送升級請求後，其請求地址遭到劫持並下載 txudp.exe 的病毒包。

這個病毒包名稱實際與騰訊官方的升級程序名稱相同，但用戶如果輕信並執行的話則電腦就會被感染上病毒。

經過分析火絨工程師發現是路由器劫持騰訊QQ的升級網址，然後直接向用戶下發偽造的 txudp.exe 程序包。

騰訊此前的修復仍存在漏洞：

正常情況下的升級邏輯是將本地軟件的版本信息發送給服務器，之後服務器按照版本信息下發對應的升級包。

而在這個過程中騰訊此前修復會增加升級內容的校驗，只要校驗通過後就會解壓指定的壓縮包並執行其程序。

由於存在漏洞黑客製作的病毒包可通過校驗，因此在劫持下發包後騰訊便按照預設流行自動解壓並按照病毒。

最終用戶可能在完全不知情的情況下遭到病毒的感染，估計用戶也不可能想到竟然是QQ 升級帶來的病毒等。

感染病毒後用戶淪為肉雞：

黑客製作的這個病毒包功能豐富，會自動收集設備信息例如計算機名稱、賬戶名稱、系統版本等上傳服務器。

病毒具備抓取屏幕截圖的功能並且還可以遠程執行任意命令，這意味著攻擊者可以繼續向用戶安裝更多病毒。

據檢查病毒的遠程服務器位於貴州遵義 (111.122.86.7) 和畢節 (111.120.23.23)，兩臺服務器均為電信線路。

由於暫時樣本不夠還無法知曉黑客的具體目的是什麼，不過對於用戶來說淪為肉雞後也就沒有任何安全可言。

謹慎使用第三方路由器固件：

在這次事件中攻擊者主要使用路由器進行劫持，而用戶使用的本身是第三方提供的路由器固件非官方版固件。

既開發路由器固件進行劫持又知道利用騰訊QQ 未披露漏洞，想必病毒團伙應該是提前知道騰訊存在的漏洞。

很難說現在地下黑市裡這枚漏洞是否已經在大量流傳，不過最終攻擊者還需要能夠劫持騰訊升級地址才能行。

如果沒法利用運營商進行劫持的話也只有通過路由器、DNS或者網絡發動攻擊，相對來說執行起來並不容易。

也正是如此大家在刷路由器固件時也要謹慎選擇，儘量使用那些知名度較高並且已經開源的固件防止帶病毒。

關注藍點網頭條號不迷路，Windows 10、科技資訊、軟件工具、技術教程，盡在藍點網。藍點網，給你感興趣的內容！感謝打賞支持！