從彈窗廣告發現「全家桶」的驚人秘密

*本文作者：布袋和尚，轉載請註明來自FreeBuf.COM

以前聽說過各種「全家桶」，但本來以為只有小白才會中招，沒想到自己作為曾經混過安全圈的「業內人士」竟然也失陷了！真是防不勝防。

先說下過程，有些現象當時沒有截圖，只有事後分析盡量還原出來。

首先是電腦突然彈了個窗，提示清理垃圾之類的，如下圖：

誤以為是另一個軟體彈的，隨手點了立即清理，突然電腦卡頓幾下，然後出現了這樣的一個窗口…

好吧，竟然是騰訊電腦管家，我又不要給qq等級加速，裝這玩意幹嗎……立刻醒悟過來，剛才的彈窗看來就是誘導安裝電腦管家的！

那麼問題又來了，這窗是誰彈的？

因為彈窗並不是一直存在，所以卸了電腦管家，琢磨著它應該不會善罷甘休。

最終定位到了彈窗的程序——%TEMP%目錄下的一個名為

「QXMatrixTools4524.exe」

果然是騰訊的簽名：

查看了下QXMatrixTools內部資源，解壓壓縮包，發現原來預備的彈窗樣式還不少……

這麼多的彈窗款式——總有一款騙到你~

但是整個下載和安裝的過程完全是在後台執行的，而且也找不到卸載項，純屬無提示安裝、無安裝界面、無卸載項、無節操的四無產品……

其實QXMatrixTools又是另一個服務啟動的——QQMicroGameBoxService.exe

（騰訊網頁遊戲微端服務）：

在這個目錄底下，QXMatrix.dll……果然會去載入QXMatrix.dll。

而QXMatrix.dll釋放的兩個驅動還會恢復QQ旗下三個服務，用來給這三個服務保駕護航，防止被其他軟體禁用掉。

系統底層被流氓搞得硝煙四起：

用QXMatrixTools這個關鍵詞到網上搜了一下，原來這事情在知乎上早就曝光過，去年9月就有人發現並分享了清理這個服務的方法：《關於騰訊旗下產品經由QXMatrixTools開啟的後門問題？》

之所以要分享清理方案，是因為——這個東西根本沒有卸載項！！！

事情到此算是大體上捋清楚了，大致總結如下：

1. 我裝了個QQ遊戲大廳

2. QQ遊戲大廳給我帶了個

QQMicroGameBoxService

3. 這個服務會載入QXMatrix.dll的動態庫，釋放驅動不斷修復騰訊的服務，還時不時的給我的臨時目錄底下塞一個

QXMatrixTools

4. 小工具會彈出個窗口來「溫馨提示」—您的電腦該清理了

5. 一旦點了清理，會「貼心」的下載回來一個電腦管家為我服務……

6. 這一套組合拳不僅套路深，最後竟然還不提供卸載！

現在知道「全家桶」都是怎麼來的了吧！

*本文作者：布袋和尚，轉載請註明來自FreeBuf

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！