惊天消息，腾讯QQ最新版中确认含有病毒程序(转贴)[

枫三侠

<FONT size=4>惊天消息，腾讯QQ最新版中确认含有病毒程序(转贴)<BR><BR><SPAN class=tpc_content twffan="done"></FONT><FONT size=4>QQ最近在其官方网站</FONT><A href="http://www.qq.com/" target=_blank><FONT size=4>www.QQ.COM</FONT></A><FONT size=4> 上推出了QQ2005 beta3版，吸引了很多用户试用。这本来是件好事情，却爆出了这个版本的QQ可能含有病毒的消息。 <BR><BR>为了证实这个消息的真实性，我赶紧到</FONT><A href="http://www.qq.com/" target=_blank><FONT size=4>www.qq.com</FONT></A><FONT size=4>上下载了一个QQ2005 beta3，进行了详细而认真的测试。以下是测试结果： <BR><BR>1、这个版本的QQ安装时，生成4个额外的病毒文件：这个版本的QQ安装完毕后，除了生成QQ正常使用的文件外，的确会在系统文件夹c:&#92;windows&#92;downlo~1下生成多余的4个文件，其中2个为dll动态库文件，1个为exe可执行文件，一个为dat数据文件。这4个文件互相配合，形成了一套功能完备的病毒程序（病毒行为详见后面的分析） <BR><BR>2、病毒文件会在系统注册表中增加一个独立于QQ启动项之外的启动项：这4个文件被创建后，会在系统注册表中增加一个名为“_TBHTray”的启动项，路径指向刚才所发现的2个dll文件中的一个，以保证这些文件能在系统启动时被自动加载。因此，他们的自我启动，在此时与QQ是否存在无关了 <BR><BR>3、病毒文件采用多种方法实现自我隐藏：不知出于何种目的，这4个文件在自我隐藏方面可谓煞费苦心，集多个典型病毒的隐藏方法于一身，分别是： <BR>*61548; 文件名随机生成，即便在同一台电脑上，每次安装QQ2005 BETA3，这4个文件的文件名都不相同，使得你很难找到 <BR>*61548; 调用系统函数，将自身的文件属性设置为系统级，使得在windows窗口模式下根本无法看到这些病毒文件，必须使用dos命令行模式才可看到 <BR>*61548; 无论你何时安装，它会自动将dll文件的生成时间设置为2005-9-8 16:38，这是QQ 2005beta3证实发布之前的日期，使你很容易忽略和QQ 2005 BETA3的联系 <BR><BR>4、该病毒使用钩子技术实现了自我保护机制，使用户根本无法手工删除 <BR>该病毒在系统的最底层，挂了一个Debug钩子，这个钩子随着系统的启动而启动，即使在安全模式下也会运行，保证从最底层获得系统的控制权 <BR>此外，该病毒还另外挂了CBT钩子和键盘监视钩子，这两个钩子和前面提到的debug钩子相互配合，互相保护，不断刷新系统注册表及自身文件列表，一旦发现注册表项或文件项被删除，即会自动重新创建 <BR>这三个钩子均无法手工停止，即便杀死QQ所有的进程后依然在工作。 <BR><BR>5、该病毒具备自我升级机制，会绕开防火墙随时从互联网上升级到更新的版本 <BR>该病毒的exe文件负责客户端与互联网服务器的通信与升级，此exe文件在用户每次打开IE时都会向互联网服务器发回信息，并根据服务器的指令决定是否升级。由于该程序利用了IE访问网络的80端口，因此会绕开绝大多数的网络防火墙，使得升级在不知不觉在进行！ <BR><BR>6、该病毒记录了用户上网所一举一动，并很有可能将这些内容打包发给了它的服务器 <BR>由于该病毒在系统中挂了一个键盘钩子和CBT钩子，它截获并记录用户使用电脑的一举一动，包括访问的网址，地址栏输入的内容，搜索词，用户名及密码等。同时我还发现，在我打开IE 时，这个病毒均会向服务器会传一大堆的数据，由于这些数据已经加密，我无法获知究竟是什么内容，但根据数据排列和信息量来看，极有可能是用户上网的访问记录等极其敏感的隐私信息！ <BR><BR>7、该病毒在QQ卸载后依然会存在在用户的机器中，无法彻底清除 <BR>如果将QQ 2005 BETA3卸载掉，这个时候，病毒文件依然会保留在机器里，并不被卸载掉。如果重新安装一遍，由于病毒的文件名是随机生成的，则又会在系统中增加一整套病毒文件。往复几次，则硬盘中的病毒文件数量将触目惊心！这些病毒文件互相嵌套，关系错综复杂，使得用户根本无法分清彼此间的关系，根本无法将该病毒彻底清除干净！（如图） <BR><BR><BR>综上所述，此程序已经具备了病毒所有的特性：自我隐藏、自我变形、自我保护、快速传播、截获用户输入、悄悄升级等，因此，我可以得出颇为肯定的结论： <BR>在QQ官方网站</FONT><A href="http://www.qq.com/" target=_blank><FONT size=4>www.qq.com</FONT></A><FONT size=4>推出的qq 2005 beta3内嵌了一个地地道道的病毒程序！ <BR><BR>由于分析工作没有全部完成，加之该病毒正处在潜伏期，目前还不是很清楚该病毒程序所做的一切行为，但目前已经能对该病毒的危害得出一定的结论了。该病毒会产生的危害有： <BR>1、降低系统稳定性，导致部分用户电脑崩溃 <BR>由于该病毒中滥用文件变名、Debug钩子、自我保护等技术，使得系统稳定性大受影响。测试期间，测试机多次停止响应。如果使用工具强制删除掉该病毒其中的某个dll文件，由于该病毒自我保护机制的不成熟，甚至会使得启动无法启动。 <BR>由于QQ是全国装机量最大的软件，覆盖在上千万台电脑上，只要以上问题出现概率大于1%（事实上我测试时接近10%），必

枫三侠

<FONT size=4>至少能大胆猜想这样的精神是可贵的呀。你早就知道。但向我这样的菜鸟刚知道的呀。我想未必所有人也知道呀。网上的东西当然未必见了就信。这一点，自己应该知道。</FONT>

nesp

这是假消息，很早以前就有了，锁了！