埃德蒙顿华人社区-Edmonton China

 找回密码
 注册
查看: 2064|回复: 5

QQ2005 beta3版可能含有病毒(ZT)

[复制链接]
鲜花(0) 鸡蛋(0)
发表于 2006-2-28 17:59 | 显示全部楼层 |阅读模式
老杨团队,追求完美;客户至上,服务到位!
触目惊心!揭开QQ的发家老底!!! 收藏本文  
9 `0 G' G" C  F) e( j作者:ximeet8 发表于: 2006-02-28 10:39:40  
8 }) j7 c0 n. p% m& B0 e  
6 e6 v( b6 N* {. \+ u9 `2 bQQ最近在其官方网站WWW.QQ.COM 上推出了QQ2005 beta3版,吸引了很多用户试用。这本来是件好事情,却爆出了这个版本的QQ可能含有病毒的消息。 9 Y" b9 E6 x; W8 N% v: M8 _8 I
为了证实这个消息的真实性,我赶紧到ww.w.qq.com上下载了一个QQ2005 beta3,进行了详细而认真的测试。以下是测试结果:
/ h2 [1 p& K; o& b# u2 X5 {1 Y1、这个版本的QQ安装时,生成4个额外的病毒文件
  G  F/ @  `" u3 \这个版本的QQ安装完毕后,除了生成QQ正常使用的文件外,的确会在系统文件夹c:windowsdownlo~1下生成多余的4个文件,其中2个为dll动态库文件,1个为exe可执行文件,一个为dat数据文件。这4个文件互相配合,形成了一套功能完备的病毒程序(病毒行为详见后面的分析)。 6 ~: @' P' ^; r. q4 H. B$ }
2、病毒文件会在系统注册表中增加一个独立于QQ启动项之外的启动项。
" V0 n! Y6 ]$ H9 o% `这4个文件被创建后,会在系统注册表中增加一个名为“_TBHTray”的启动项,路径指向刚才所发现的2个dll文件中的一个,以保证这些文件能在系统启动时被自动加载。因此,他们的自我启动,在此时与QQ是否存在无关了。 ' E+ K; a2 ]  u% w% q; N
3、病毒文件采用多种方法实现自我隐藏。
' @/ @) J, B  S+ v不知出于何种目的,这4个文件在自我隐藏方面可谓煞费苦心,集多个典型病毒的隐藏方法于一身,分别是:
2 O1 p1 K  K0 Y$ y(1)文件名随机生成,即便在同一台电脑上,每次安装QQ2005 BETA3,这4个文件的文件名都不相同,使得你很难找到。 7 W; J( C3 c7 O# `6 Z
(2)调用系统函数,将自身的文件属性设置为系统级,使得在windows窗口模式下根本无法看到这些病毒文件,必须使用dos命令行模式才可看到。
2 \7 g! k; E! G! l' h1 |$ f(3)无论你何时安装,它会自动将dll文件的生成时间设置为2005-9-8 16:38,这是QQ 2005beta3证实发布之前的日期,使你很容易忽略和QQ 2005 BETA3的联系。 ; X, P$ A' {- M  O0 J: ]
4、该病毒使用钩子技术实现了自我保护机制,使用户根本无法手工删除
9 K. d+ {' f8 z& x; r该病毒在系统的最底层,挂了一个Debug钩子,这个钩子随着系统的启动而启动,即使在安全模式下也会运行,保证从最底层获得系统的控制权。此外,该病毒还另外挂了CBT钩子和键盘监视钩子,这两个钩子和前面提到的debug钩子相互配合,互相保护,不断刷新系统注册表及自身文件列表,一旦发现注册表项或文件项被删除,即会自动重新创建,这三个钩子均无法手工停止,即便杀死QQ所有的进程后依然在工作。
: y4 {$ ]; z: N: r$ K6 L. [9 F  A( Y5、该病毒具备自我升级机制,会绕开防火墙随时从互联网上升级到更新的版本   O% ]+ ~& }+ D( P9 o6 i# c
该病毒的exe文件负责客户端与互联网服务器的通信与升级,此exe文件在用户每次打开IE时都会向互联网服务器发回信息,并根据服务器的指令决定是否升级。由于该程序利用了IE访问网络的80端口,因此会绕开绝大多数的网络防火墙,使得升级在不知不觉在进行! 9 P) |2 \5 x8 H# S5 Y! Z6 g
6、该病毒记录了用户上网所有的一举一动,并很有可能将这些内容打包发给了它的服务器
2 m: u8 ]. U1 F& Y由于该病毒在系统中挂了一个键盘钩子和CBT钩子,它截获并记录用户使用电脑的一举一动,包括访问的网址,地址栏输入的内容,搜索词,用户名及密码等。同时我还发现,在我打开IE 时,这个病毒均会向服务器会传一大堆的数据,由于这些数据已经加密,我无法获知究竟是什么内容,但根据数据排列和信息量来看,极有可能是用户上网的访问记录等极其敏感的隐私信息!
1 ?+ V" y, w) B  L  r0 F6 |7、该病毒在QQ卸载后依然会存在在用户的机器中,无法彻底清除
- h' \- Q' g9 v$ M; u: l% d如果将QQ 2005 BETA3卸载掉,这个时候,病毒文件依然会保留在机器里,并不被卸载掉。如果重新安装一遍,由于病毒的文件名是随机生成的,则又会在系统中增加一整套病毒文件。往复几次,则硬盘中的病毒文件数量将触目惊心!这些病毒文件互相嵌套,关系错综复杂,使得用户根本无法分清彼此间的关系,根本无法将该病毒彻底清除干净! / A' d2 j. ~( W6 `; z
综上所述,此程序已经具备了病毒所有的特性:自我隐藏、自我变形、自我保护、快速传播、截获用户输入、悄悄升级等,因此,我可以得出颇为肯定的结论:在QQ官方网站w.ww.qq.com推出的qq 2005 beta3内嵌了一个地地道道的病毒程序! 0 j6 s1 C* t+ N" @
由于分析工作没有全部完成,加之该病毒正处在潜伏期,目前还不是很清楚该病毒程序所做的一切行为,但目前已经能对该病毒的危害得出一定的结论了。该病毒会产生的危害有:
% R% i4 L  Y+ R9 C: b: ]1、降低系统稳定性,导致部份用户电脑崩溃
  \/ R2 _2 H$ K0 }/ w! B/ v由于该病毒中滥用文件变名、Debug钩子、自我保护等技术,使得系统稳定性大受影响。测试期间,测试机多次停止响应。如果使用工具强制删除掉该病毒其中的某个dll文件,由于该病毒自我保护机制的不成熟,甚至会使得启动无法启动。由于QQ是全国装机量最大的软件,覆盖在上千万台电脑上,只要以上问题出现概率大于1%(事实上我测试时接近10%),必将导致数十万的用户无法继续使用电脑,危害相当严重!!
! i( ^' @: \0 y( o* X1 Y2、急剧降低系统性能
9 P( r5 E0 O9 x: _! b, Q由于该病毒在不断的刷新注册表、文件列表,同时利用钩子截获用户的所有输入,因此使得系统性能急剧下降,这种下降在打开IE时表现得尤为明显。在未安装此病毒的测试机上,连续打开10个IE后,再打开IE窗口的速度与没有明显减慢;在已安装此病毒的测试机上,打开第一个IE窗口时就明显感觉到顿挫感,在打开第10个窗口时,常需数秒以上,最长时甚至长达1分钟,无法忍受!!
4 d. d+ T8 ?8 G1 b$ }4 A! u在访问新浪、搜狐等大型网站时,也能明显感觉到打开网页的速度明显降低,常常点击链接后机器失去响应数秒。 1 Z# C6 G! [4 w  f
3、窃取用户隐私
. H6 X0 f/ h2 V2 M$ u该病毒截获了用户所有的输入,因此安装了该病毒的机器即无隐私可言,上网的网址、输入的用户名、密码、搜索用过的搜索词均会被该病毒截获。最严重的,如果用户在机器上使用过银行的网上支付系统,则存在极大的风险丢失卡号及密码,被偷盗钱财。 2 a% k' a! p) n6 g' l; u! H
4、有可能在互联网上引发又一次轮蠕虫冲击波,导致互联网瘫痪 & |+ P5 z& G% z' L8 N
由于附着在QQ上,所以该程序会以每天近百万的速度散播在互联网上,不需要太久,它将在数千万台电脑上潜伏。如果该病毒象其它病毒一样,集中在一天内爆发,那将是比冲击波更大的灾难,整个互联网,用户的机器,都将瘫痪,后果不堪设想!! ! y. E$ |/ |# ]; K: C
对于这样严重的病毒事件,强烈要求腾讯公司给出明确说法并对广大用户公开道歉!此外,我已经把这病毒程序提交给了诺顿、卡巴司机等多个病毒厂商,希望他们尽快能将其加入最新病毒库,保障网民的安全!同时我也奉劝广大互联网用户,在该问题解决之前,不要下载安装QQ。
鲜花(0) 鸡蛋(0)
发表于 2006-2-28 19:37 | 显示全部楼层
晕~真的假的
大型搬家
鲜花(0) 鸡蛋(0)
发表于 2006-2-28 21:25 | 显示全部楼层
不会吧?我不下载新的
鲜花(168) 鸡蛋(0)
发表于 2006-2-28 21:46 | 显示全部楼层
老杨团队 追求完美
我反正是装了!
鲜花(2) 鸡蛋(0)
发表于 2006-2-28 21:50 | 显示全部楼层
腾讯公司已经招认了:& B7 {% X) E' _. r0 b, B# [

7 c2 |+ }1 J& u! F/ Z, Ahttp://im.qq.com/qq/mo.shtml?/qq/affiche/20050927.htm
2 |2 [1 ?- n, S, T, C. Y' ~Google的快照:! m6 Q0 a0 x7 ~6 O; w5 R  P/ |+ |
http://72.14.207.104/search?q=ca ... mp;ct=clnk&cd=1
- ~) b: T. p9 o; D9 K- L3 @+ L2 S+ ^8 X3 B+ }3 P
关于腾讯QQ2005 Beta3软件安全性的声明
2 i6 `6 r$ U0 k7 E, b
, B6 I; j; B0 n/ Z# I: @    近日,部分网站和论坛出现一篇质疑腾讯QQ最新版软件(QQ2005 Beta3)安全性的文章,该文内容存在着严重的误报行为,为了避免该文对QQ用户产生不必要的误导,腾讯公司特作以下澄清和声明:
+ @$ f- K9 C, e/ _: N% z; J; [( B8 p
    1、 腾讯公司一贯坚持一切以用户价值为依归的经营理念,保障用户利益,为用户提供健康、安全的专业服务。一直以来,腾讯公司都非常重视产品的安全,所有官方软件发布前均经过严格测试,不会携带任何病毒程序,请所有用户放心使用腾讯公司官方发布的最新版QQ软件(QQ2005 Beta3)。
9 z. Q5 c, {% o! q) P3 q6 [# {4 U1 @% I# O
# m  Y! V: J5 z    2、 腾讯公司最新推出的QQ2005 Beta3的安装选择里,新增了“QQ地址栏搜索”插件,该插件的作用是增强地址栏搜索功能,用户完全可以自主选择是否安装,并可以通过“添加/删除程序”选择是否完全卸载该插件,用户在QQ2005 Beta3安装过程中发现的新增程序即为此插件。  y+ F( r% I* O) W1 B

% J) f9 s& i( I; K! f    3、 为了给用户最好的体验,提高运行速度和减少响应时间,“QQ地址栏搜索”插件采用了Windows标准的接口,随着操作系统启动自动运行同时,该插件还采用了“动态文件名”技术,以防止一些恶意插件和程序的强行修改和删除。该插件在运行中与服务器的通讯仅为自身升级所用,绝对不会收集和发送任何有关用户隐私的信息,不会侵害用户的任何利益,不会修改用户的任何安全设置。! y4 x- P, J% ]% g

7 Q) _/ y/ I* T& ^    4、 长期以来,腾讯公司都在不遗余力地打击病毒对QQ用户的骚扰行为,并与各大反病毒厂商建立了长期、紧密的合作关系,以便为QQ用户提供更多安全保障。
' N) b9 V4 u8 J9 k/ t/ p- j7 Q/ Q# A, x
    感谢所有QQ用户长期以来对腾讯公司各项业务的支持和关注。腾讯公司作为一家负责任的公司,致力于为海量的用户提供创新、安全的互联网增值服务,是广大用户值得信赖的服务提供商。腾讯公司将一如既往,为广大用户提供更多安全、易用的可自主选择的互联网应用软件和服务。
6 N2 w) ]* s0 C( v: v7 [, `1 J, \; T, P( S. d! A/ o, Z
    腾讯公司9 u, n' x+ e. a2 M* G+ S  V0 w
二OO五年九月二十七日
7 }  @2 W, G- \- T6 A& j7 u" x$ g5 t; _' r) G0 x# ]/ m
[ 本帖最后由 平常 于 2006-2-28 21:00 编辑 ]
大型搬家
鲜花(2) 鸡蛋(0)
发表于 2006-2-28 21:58 | 显示全部楼层
[转帖]手把手教你如何彻底删除QQ 2005 beta3自带病毒; j. B8 L7 @. |5 |' C1 V
& w0 `5 ~) T, E0 |$ p# e

! t! [6 |  G+ ^/ O; H         估计很多人都已经下载安装了QQ 2005 beta3了,虽然这个版本有了些新功能,但也传出了其中带病毒的消息。这事在网上闹得沸沸扬扬,让安装了这个版本的朋友们心里都恐慌:这个“病毒”到底会不会给我带来危害呀?
2 t# G' g; {( |+ c2 p8 V
2 W* x) I# p! [' R/ l. A& w    瑞星论坛的baohe斑竹也专门对这个“病毒”进行了研究,认为这个“病毒”的不完全是一个 “恶性病毒”,更像一个“流氓软件”或者“木马”,截止目前为止,网友们反映它所带来的危害更多的是使机器变慢,打开IE时出现明显的顿挫感等,还没有更大的危害报告(比如资料丢失、无法开机等),所以大家不用太害怕。8 I' _5 d: k5 w$ J2 w

) Z/ p3 C1 o9 @3 ]3 S3 {) Q    当然不管怎么说,在机器里有这么一个不好的东西自然不是什么让人舒服的事情,似乎有颗定时炸弹埋在自己的机器里似的,不知道哪天就会爆炸。
; Y' L  u7 L1 I# ~  h1 ?& v5 w' h# V1 E% q9 B7 G# t; l
    如果你已经不小心安装了这个病毒,请注意,由于QQ 2005 BETA3自带病毒在QQ卸载时不能完全被卸载干净,因此,那么推荐你按以下步骤手工彻底删除此病毒(在数台机器上试验通过):
# N' w6 v9 I7 f9 X    1、关闭所有的IE窗口6 G! x$ z2 {! a# G3 }) Z# a
    2、按住ctrl+alt+del,启动任务管理器,关闭所有rundll32进程(如果有提示无法关闭则不必理会),再关闭explore.exe3 r6 N; H2 O+ ~( Y! k5 x* s5 O7 ]
    3、用任务管理其启动命令行模式,到c:\windows\downloded program files下找到5个文件,2个为动态链接库文件(.dll文件),1个为可执行文件(.exe文件),2个为数据文件(.dat文件)。由于这些文件名都是随机生成,所以名字和图上的可能不一致,这个时候只能根据它的时间来判断了,注意9-18 16:38这个日期: [% J1 ?4 @; n( [% k1 Z0 \
9 t2 h- C5 \5 Z/ K' l2 a, w

) V5 Y' C0 C/ N$ b" _    4、用regedit命令打开系统注册表。在注册表中找到一个名为“_TBHTray”的启动项,删除掉这个启动项。
: [) ^+ t$ N& V0 o3 O" N) [) s9 u/ r; J4 O2 c0 y
    基本上可以认为这个病毒从你的机器里消失了!
大型搬家
您需要登录后才可以回帖 登录 | 注册

本版积分规则

联系我们|小黑屋|手机版|Archiver|埃德蒙顿中文网

GMT-7, 2026-7-8 16:08 , Processed in 0.128899 second(s), 18 queries , Gzip On, APC On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表