案情回顾传送门：关于近期出现的QQ自动加好友的分析1.0

 注：目前自动加好友判断为某增值导致，有且并不仅限于以下情况，只是提供一个排查思路。

此前师兄分享了网吧排查自动加好友的案例分析，最近几天发现此“木马”产生了变种，我们将更进一层地做个分析：现象依旧是登陆QQ之后会不断的自动加好友，如果是异地登陆还会弹出无数个输入验证码的框。

下面我们还是按照师兄的思路分析：

首先还是使用pchunter查看QQ.exe进程下面可疑的模块，我们windows下的twain_64.dll非常可疑（之前可疑文件dll.dll路径为temp目录）

接着我们使用OD打开dll观察确认是此twain_64.dll导致了自动加好友；

通过process monitor来抓取登陆QQ过程，判断究竟是谁生成twain_64.dll，细查发现是桌面进程explorer.exe：

当我排查到这一步的时候，开始我是懵逼的，系统进程为什么会创建“木马”呢，首先我怀疑这个explorer.exe是假体文件，或者被注入了；

果断任务管理器结束之后重新运行explorer.exe之后发现无效；路径也是正常windows\explorer.exe文件。

如果不是假体或者注入那应该就是文件本身有问题，于是我想着提取explorer.exe文件对比：

我先把可疑的explorer改名，然后把M8的提取explorer.exe文件放进去，仔细看字节并不一样呀喂，险些就被文件占用空间大小骗了！也可以对比MD5

既然发现文件有问题，想着可以挂载把正常文件替换就可以了，然而替换重启后发现正常explorer文件被删除了，又重新生成了“木马explorer.exe”；

我们只能通过批处理结束桌面进程，然后获取管理员权限把explorer.exe改名，最后把正常文件复制过去运行的方法测试，QQ登陆已正常。

解决方案：

1.可以对twain_64.dll文件做占位锁权限处理，测试正常；

2.如果害怕dll名称变化，也可以对explorer结束并开机替换文件的方式，同时需要注意权限和开机批处理延时，测试正常；

下载正常的win7x64版explorer.exe文件：explorer.rar

@echo off

taskkill -im explorer.exe /f

echo y|cacls "c:\windows\explorer.exe" /c /p everyone:f

ren c:\windows\explorer.exe explorer.exe1

copy c:\explorer.exe c:\windows\

ping 127.0.0.1 -n 1

start c:\windows\explorer.exe

exit

未完待续... 目前只是怀疑某茶的pnp包自创explorer.exe有问题，至于如何去除创建文件待排查，亦或是其他增值广告引起，详情我会持续更新

三国版M8包下载地址：http://www.583go.com/resource.php?mod=view&rid=124 

原创帖，感谢易乐游技术肖大神和ST小杰的协助，转载请保留http://www.583go.com