隨著互聯網的普及，安全軟件查殺能力的提升，許多灰產甚至黑產都將戰場轉向了安全性較低的網吧。近日，漁村安全團隊監測到有QQ廣告病毒通過網吧營銷大師進行傳播，給渠道商刷“QQ 興趣部落”關注粉，并在QQ空間分享發送大量垃圾廣告。
傳播渠道
本次QQ興趣部落刷粉病毒主要是在安裝殺軟率較低的網吧進行傳播。根據檢測報告顯示，日感染量峰值5K，而實際感染量可能遠超目前監測到的情況。
樣本分析
報告中涉及到的樣本病毒MD5:- md5-1:925ad8603b6d94e54c9db4dcb0175011 分享廣告發送- md5-2:e64d8fb57629483541a6f9c84278ba8a 定時發送垃圾郵件- md5-3:BF6A1AB3F19FC72863D98C01544B5755 自動關注興趣部落
流程圖

0×1.母體實際是一個下載程序,首先檢測當前電腦環境是否有QQ 進程在，如果存在QQ進程，則通過訪問http://222.187.223.201:81/qqbuluo/check.txt 讀取內容進行解密并下載b1.exe，運行完b1.exe后至此母體的工作完成。 

 
0×2. b1.exe通過:”http://222.187.223.201:81/qqbuluo/blconfig.txt” 獲取到配置文件信息,得到需要關注的興趣部落ID號和統計上報用的網址。
未解密的網頁原數據：

解密以后的明文數據：

0×3.b1.exe打開興趣部落的登錄網頁,利用 QQ在線時可以快速登錄的機制獲取到登錄以后網頁的cookie,然后通過模擬網頁關注按鈕的方式實現關注興趣部落.

0×4.最后統計上報QQ號碼，部落ID 號，和mac地址 http118.178.34.68/mywwwbuluo/bl check.php?tjqq=&bqq=&mac=
 

整個家族

根據VirusTotal的查詢和分析該服務器下還有各種類似QQ病毒，作者并且一直在更新它們以達牟利。它們分別是 :
1. QQ垃圾郵件發送
2. QQ分享廣告發送

 圖:運行病毒后，將廣告分享到QQ空間 

 圖 : 運行病毒后，將廣告垃圾定時發給其他好友
盈利模式
根據市場價格，均價在 90元=1000個關注,175元 =2000個關注 ,340元=4000 個關注（數據來自豬八戒網 )。

總結
網吧與個人電腦環境不同，請勿在網吧隨意登陸社交軟件，避免造成不必要的影響。