大家还记得上次去网吧是什么时候吗？在今天每个人随随便便拿手机都能畅快上网的时候，网吧似乎已从人们的视野中淡出。然而，事实上并没有。

　　该营销方案采用的是一种依靠网吧工具系统传播的病毒，该病毒每天感染超过5000台计算机。

　　只要你的QQ在中毒电脑上登录过的，那么你就已经成为QQ兴趣部落僵尸粉中的一员了。不仅会自动关注QQ兴趣部落的特定帐号，还会在QQ空间分享发送大量垃圾广告。

　　其中一位已中招的网友反馈，他在网吧登陆QQ后，QQ会自动发广告。

　　该网友回忆说，当时他和室友一同在网吧上网，两人的QQ均在QQ空间自动发送了关于信用卡分享的广告。

　　随着互联网的普及，安全软件查杀能力的提升，许多灰产甚至黑产都将战场转向了安全性较低的网吧。

　　有QQ广告病毒通过网吧营销大师进行传播，给渠道商刷“QQ兴趣部落”关注粉，并在QQ空间分享发送大量垃圾广告。根据检测报告显示，日感染量峰值5K，而实际感染量可能远超目前监测到的情况。

　　样本病毒MD5:

　　-md5-1:925ad8603b6d94e54c9db4dcb0175011分享广告发送

　　-md5-2:e64d8fb57629483541a6f9c84278ba8a定时发送垃圾邮件

　　-md5-3:BF6A1AB3F19FC72863D98C01544B5755自动关注兴趣部落

　　流程图

　　0x1.母体实际是一个下载程序,首先检测当前电脑环境是否有QQ进程在，如果存在QQ进程，则通过访问http://222.187.223.201:81/qqbuluo/check.txt读取内容进行解密并下载b1.exe，运行完b1.exe后至此母体的工作完成。

　　0x2.b1.exe通过:"http://222.187.223.201:81/qqbuluo/blconfig.txt"获取到配置文件信息,得到需要关注的兴趣部落ID号和统计上报用的网址。

　　未解密的网页原数据：

　　解密以后的明文数据：

　　0x3.b1.exe打开兴趣部落的登录网页,利用QQ在线时可以快速登录的机制获取到登录以后网页的cookie,然后通过模拟网页关注按钮的方式实现关注兴趣部落.

　　0x4.最后统计上报QQ号码，部落ID号，和mac地址。

　　整个家族

　　根据VirusTotal的查询和分析该服务器下还有各种类似QQ病毒，作者并且一直在更新它们以达牟利。它们分别是:

　　1.QQ垃圾邮件发送

　　图:运行病毒后，将广告分享到QQ空间

　　2.QQ分享广告发送

　　图:运行病毒后，将广告垃圾定时发给其他好友

　　盈利模式是怎样的呢？根据市场价格，均价在90元=1000个关注,175元=2000个关注,340元=4000个关注。

　　网吧环境登录QQ或其他重要社交媒体帐号，网吧电脑中病毒的概率比家用电脑和手机要高得多，有的网吧管理工具还会参与分发病毒木马获取非法利益。网吧营销大师正是通过这些手段来开展自己的营销活动的。

（菠菜圈原创文章，版权所有，转载请注明出处）