问题原因
2015年12月16日起,我们陆续发现了不少客户出现QQ号被盗的情况
经过大量系统的检查和部署,发现是由上海雨人软件技术开发有限公司
开发的雨人软件推送导致的。。详细情况如见下图
雨人在5-6月期间开始推送APP(安卓手机强制推送游戏和软件)增值。
这个广告对网吧客户影响较少,只是偶会出explorer.exe进程报错
但是在2015年12月15日开始,这个推送的文件开始推送病毒以及盗号文件。
影响范围
2015年5月份后,重新做过系统,或者开过超级的网吧
雨人公司马上将后台的推送关闭,但是由于APP每次雨人开机都会推送下去,所以变成了大部分都转存到客户机无盘镜像中,
所以大部分网吧,只要重新做过系统,或者开过超级的都带了这个APP软件。
此病毒经过我们分析,启动后监视系统,发现QQ以及其他游戏登录后
将游戏或QQ结束,并启动一个类似的启动界面(请看下图)
此时客户将信息输入后,由盗号人员截获并保存了。
此次盗号连接的服务器是222.185.57.27
解决办法
1.联系雨人将推送去掉
2.在服务器挂载客户机系统磁盘,将以下路径的目录文件清空,(appmain_plus)设置为不可读写,并保存。
win7下
客户机挂载的磁盘目录:\Users\Administrator\AppData\Roaming\appmain_plus
3.如果服务器上挂载没有这个目录的,请手动建立这个目录,并且把权限禁止
4.有条件的,请联系当地网监,报警
5.在2015年12月15日后,带毒环境操作的客户和技术,请重新安装系统,因为APP下发的病毒文件
已经在系统内执行并且占位了,此时屏蔽目录已经没有任何作用了。
后续问题
-
不少客户之前已经被盗号了,你禁止后还有报盗号的属于滞后现象。
反思和考虑
-
1.没事不要开超级
-
2.没事不要开超级
-
3.装完所有的软件后,雨人放到最后装,最后一个还原点!
要修改文件,请用服务器推送以及开包功能。
这次出现问题的原因就在于,雨人拥有权限极大的推送功能,又无法去监控和监管
相信这个问题,不会是第一次,也不会是最后一次。
对普通用户说的话
网吧这次出问题,让你丢失了你的QQ号,在这给你道歉了!
但这实非网吧本意,是因为上级监管部门出现问题了,这次问题波及好几个市地区,相信上海雨人公司会尽快报案,给大家一个结果。
增强安全性这块,请广大用户安装手机安全中心,是最靠谱和安全的办法。请普通用户安装使用就可以了,腾讯的安全在这块的确做的很好了。
北京云千帆科技有限责任公司团队感谢在出现问题的过程中,提供环境和便利的用户。感谢这些用户
为16,17,18这三天更多的人没有丢失QQ号做出的贡献
如有网吧还有问题,或者雨人还在推送,请联系陈俊明 13581881029或崔进攻 13439729307
截图
:::::::
正常有QQ进程截图
正常QQ启动的截图
--------------------------------------------------------------------------------------------------------------------------------
这个是QQ被结束进程之后
------------------------------------------------------------------------------------------------------------------------------------
假QQ窗体连接的网络信息
------------------------------------------------------------------------------------------------------------------------------------------------
输入任意帐号密码后,弹出的异地登录窗口
-------------------------------------------------------------------------------------------------------------------------
进程启动信息
------------------------------------------------------------------------------------------------------------------------------------------------------------
启动文件
------------------------------------------------------------------------------------------------------------------------------
启动文件的信息
-----------------------------------------------------------------------------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------------------------------------------------------------------
-----------------------------------------------------------------------------------------------------------------------------------------------