QQ2005 beta3版可能含有病毒(ZT)

Future

触目惊心！揭开QQ的发家老底！！！ 收藏本文  
作者：ximeet8 发表于： 2006-02-28 10:39:40  
  
QQ最近在其官方网站WWW.QQ.COM 上推出了QQ2005 beta3版，吸引了很多用户试用。这本来是件好事情，却爆出了这个版本的QQ可能含有病毒的消息。
为了证实这个消息的真实性，我赶紧到ww.w.qq.com上下载了一个QQ2005 beta3，进行了详细而认真的测试。以下是测试结果：
4 G8 b3 @! L6 H3 M" I1 j1、这个版本的QQ安装时，生成4个额外的病毒文件
这个版本的QQ安装完毕后，除了生成QQ正常使用的文件外，的确会在系统文件夹c：windowsdownlo～1下生成多余的4个文件，其中2个为dll动态库文件，1个为exe可执行文件，一个为dat数据文件。这4个文件互相配合，形成了一套功能完备的病毒程序（病毒行为详见后面的分析）。
. P$ W2 M4 S- R: ]4 ~7 C( L2、病毒文件会在系统注册表中增加一个独立于QQ启动项之外的启动项。
这4个文件被创建后，会在系统注册表中增加一个名为“_TBHTray”的启动项，路径指向刚才所发现的2个dll文件中的一个，以保证这些文件能在系统启动时被自动加载。因此，他们的自我启动，在此时与QQ是否存在无关了。
8 k' u. M) {* l1 S; ?( B3、病毒文件采用多种方法实现自我隐藏。
4 b- E# t$ C* F4 T) a9 f8 x不知出于何种目的，这4个文件在自我隐藏方面可谓煞费苦心，集多个典型病毒的隐藏方法于一身，分别是：
8 t: u0 n" G8 S% m: d8 j* X- F（1）文件名随机生成，即便在同一台电脑上，每次安装QQ2005 BETA3，这4个文件的文件名都不相同，使得你很难找到。
- s) Q& [' j$ z7 }: v/ P4 ]0 h# D（2）调用系统函数，将自身的文件属性设置为系统级，使得在windows窗口模式下根本无法看到这些病毒文件，必须使用dos命令行模式才可看到。
2 a- f6 B5 g7 I1 o# i1 K* w0 L（3）无论你何时安装，它会自动将dll文件的生成时间设置为2005-9-8 16：38，这是QQ 2005beta3证实发布之前的日期，使你很容易忽略和QQ 2005 BETA3的联系。
4 a5 J  K# G& ]5 W5 l. Q4、该病毒使用钩子技术实现了自我保护机制，使用户根本无法手工删除
该病毒在系统的最底层，挂了一个Debug钩子，这个钩子随着系统的启动而启动，即使在安全模式下也会运行，保证从最底层获得系统的控制权。此外，该病毒还另外挂了CBT钩子和键盘监视钩子，这两个钩子和前面提到的debug钩子相互配合，互相保护，不断刷新系统注册表及自身文件列表，一旦发现注册表项或文件项被删除，即会自动重新创建，这三个钩子均无法手工停止，即便杀死QQ所有的进程后依然在工作。
+ ]; f; I) c/ u5 y5、该病毒具备自我升级机制，会绕开防火墙随时从互联网上升级到更新的版本
; T4 D6 ~6 Z8 S- W该病毒的exe文件负责客户端与互联网服务器的通信与升级，此exe文件在用户每次打开IE时都会向互联网服务器发回信息，并根据服务器的指令决定是否升级。由于该程序利用了IE访问网络的80端口，因此会绕开绝大多数的网络防火墙，使得升级在不知不觉在进行！
6、该病毒记录了用户上网所有的一举一动，并很有可能将这些内容打包发给了它的服务器
由于该病毒在系统中挂了一个键盘钩子和CBT钩子，它截获并记录用户使用电脑的一举一动，包括访问的网址，地址栏输入的内容，搜索词，用户名及密码等。同时我还发现，在我打开IE 时，这个病毒均会向服务器会传一大堆的数据，由于这些数据已经加密，我无法获知究竟是什么内容，但根据数据排列和信息量来看，极有可能是用户上网的访问记录等极其敏感的隐私信息！
( q' r- I7 \$ L# g7 E8 ]( |7、该病毒在QQ卸载后依然会存在在用户的机器中，无法彻底清除
如果将QQ 2005 BETA3卸载掉，这个时候，病毒文件依然会保留在机器里，并不被卸载掉。如果重新安装一遍，由于病毒的文件名是随机生成的，则又会在系统中增加一整套病毒文件。往复几次，则硬盘中的病毒文件数量将触目惊心！这些病毒文件互相嵌套，关系错综复杂，使得用户根本无法分清彼此间的关系，根本无法将该病毒彻底清除干净！
0 [8 x1 g) d6 {6 a3 _/ Y. I综上所述，此程序已经具备了病毒所有的特性：自我隐藏、自我变形、自我保护、快速传播、截获用户输入、悄悄升级等，因此，我可以得出颇为肯定的结论：在QQ官方网站w.ww.qq.com推出的qq 2005 beta3内嵌了一个地地道道的病毒程序！
由于分析工作没有全部完成，加之该病毒正处在潜伏期，目前还不是很清楚该病毒程序所做的一切行为，但目前已经能对该病毒的危害得出一定的结论了。该病毒会产生的危害有：
1、降低系统稳定性，导致部份用户电脑崩溃
2 u9 T; `6 a" s/ I由于该病毒中滥用文件变名、Debug钩子、自我保护等技术，使得系统稳定性大受影响。测试期间，测试机多次停止响应。如果使用工具强制删除掉该病毒其中的某个dll文件，由于该病毒自我保护机制的不成熟，甚至会使得启动无法启动。由于QQ是全国装机量最大的软件，覆盖在上千万台电脑上，只要以上问题出现概率大于1%（事实上我测试时接近10%），必将导致数十万的用户无法继续使用电脑，危害相当严重！！
, ?0 {$ T, S6 ]2、急剧降低系统性能
由于该病毒在不断的刷新注册表、文件列表，同时利用钩子截获用户的所有输入，因此使得系统性能急剧下降，这种下降在打开IE时表现得尤为明显。在未安装此病毒的测试机上，连续打开10个IE后，再打开IE窗口的速度与没有明显减慢；在已安装此病毒的测试机上，打开第一个IE窗口时就明显感觉到顿挫感，在打开第10个窗口时，常需数秒以上，最长时甚至长达1分钟，无法忍受！！
) J  b" j( Q, _" s, F7 q在访问新浪、搜狐等大型网站时，也能明显感觉到打开网页的速度明显降低，常常点击链接后机器失去响应数秒。
3、窃取用户隐私
: \3 _. W/ O: @1 K. B( C0 p1 l该病毒截获了用户所有的输入，因此安装了该病毒的机器即无隐私可言，上网的网址、输入的用户名、密码、搜索用过的搜索词均会被该病毒截获。最严重的，如果用户在机器上使用过银行的网上支付系统，则存在极大的风险丢失卡号及密码，被偷盗钱财。
4、有可能在互联网上引发又一次轮蠕虫冲击波，导致互联网瘫痪
  F; j" I: X* Z+ r* y1 @4 ]) C1 b由于附着在QQ上，所以该程序会以每天近百万的速度散播在互联网上，不需要太久，它将在数千万台电脑上潜伏。如果该病毒象其它病毒一样，集中在一天内爆发，那将是比冲击波更大的灾难，整个互联网，用户的机器，都将瘫痪，后果不堪设想！！
6 n- S* d2 ]/ g3 L! [对于这样严重的病毒事件，强烈要求腾讯公司给出明确说法并对广大用户公开道歉！此外，我已经把这病毒程序提交给了诺顿、卡巴司机等多个病毒厂商，希望他们尽快能将其加入最新病毒库，保障网民的安全！同时我也奉劝广大互联网用户，在该问题解决之前，不要下载安装QQ。

逍遥小子

晕~真的假的

华胥

不会吧？我不下载新的

天豕爱美丽

我反正是装了！

平常

腾讯公司已经招认了：

http://im.qq.com/qq/mo.shtml?/qq/affiche/20050927.htm
Google的快照：
5 w! F, a5 Z2 J  s3 A8 \http://72.14.207.104/search?q=ca ... mp;ct=clnk&cd=1
# e) n0 R- ^* Z0 A9 l
, A5 s* t! f8 Y/ ?# s8 G, ^关于腾讯QQ2005 Beta3软件安全性的声明

    近日，部分网站和论坛出现一篇质疑腾讯QQ最新版软件（QQ2005 Beta3）安全性的文章，该文内容存在着严重的误报行为，为了避免该文对QQ用户产生不必要的误导，腾讯公司特作以下澄清和声明：
9 A8 A- I) J2 K: E2 S  M
6 x+ A& @: |8 M8 l/ v    1、 腾讯公司一贯坚持一切以用户价值为依归的经营理念，保障用户利益，为用户提供健康、安全的专业服务。一直以来，腾讯公司都非常重视产品的安全，所有官方软件发布前均经过严格测试，不会携带任何病毒程序，请所有用户放心使用腾讯公司官方发布的最新版QQ软件（QQ2005 Beta3）。
, K4 B& K. Z2 V- x) {3 B( V& F
6 Z7 R4 R8 I" F3 h    2、 腾讯公司最新推出的QQ2005 Beta3的安装选择里，新增了“QQ地址栏搜索”插件，该插件的作用是增强地址栏搜索功能，用户完全可以自主选择是否安装，并可以通过“添加/删除程序”选择是否完全卸载该插件，用户在QQ2005 Beta3安装过程中发现的新增程序即为此插件。
" B3 `4 }% p) _. {  c5 M- h$ k5 o4 `$ y
3 N  f( K$ f5 I$ G* d    3、 为了给用户最好的体验，提高运行速度和减少响应时间，“QQ地址栏搜索”插件采用了Windows标准的接口，随着操作系统启动自动运行。同时，该插件还采用了“动态文件名”技术，以防止一些恶意插件和程序的强行修改和删除。该插件在运行中与服务器的通讯仅为自身升级所用，绝对不会收集和发送任何有关用户隐私的信息，不会侵害用户的任何利益，不会修改用户的任何安全设置。

3 ~0 _1 h3 r% Q) p! ?! `# `    4、 长期以来，腾讯公司都在不遗余力地打击病毒对QQ用户的骚扰行为，并与各大反病毒厂商建立了长期、紧密的合作关系，以便为QQ用户提供更多安全保障。

    感谢所有QQ用户长期以来对腾讯公司各项业务的支持和关注。腾讯公司作为一家负责任的公司，致力于为海量的用户提供创新、安全的互联网增值服务，是广大用户值得信赖的服务提供商。腾讯公司将一如既往，为广大用户提供更多安全、易用的可自主选择的互联网应用软件和服务。
% |- o4 k! M' A4 j  H) V
9 X' n3 y8 Z! }* s　　　 腾讯公司
! N1 @" B- R, r* ^3 o二OO五年九月二十七日
! K6 N, x7 z# j
* g0 Y, G6 N2 w& X, _) b4 s[ 本帖最后由 平常 于 2006-2-28 21:00 编辑 ]

平常

[转帖]手把手教你如何彻底删除QQ 2005 beta3自带病毒
5 T+ f5 z- M9 W, S) I% ?
2 B& J/ K/ G9 g% Z; z, G7 i/ g
3 B8 m$ Y# F& u# Z6 ^3 d         估计很多人都已经下载安装了QQ 2005 beta3了，虽然这个版本有了些新功能，但也传出了其中带病毒的消息。这事在网上闹得沸沸扬扬，让安装了这个版本的朋友们心里都恐慌：这个“病毒”到底会不会给我带来危害呀？
! ~: u2 F; o3 |3 H8 Z2 A
# G0 f/ i" I8 E4 c- A. Y    瑞星论坛的baohe斑竹也专门对这个“病毒”进行了研究，认为这个“病毒”的不完全是一个 “恶性病毒”，更像一个“流氓软件”或者“木马”，截止目前为止，网友们反映它所带来的危害更多的是使机器变慢，打开IE时出现明显的顿挫感等，还没有更大的危害报告（比如资料丢失、无法开机等），所以大家不用太害怕。
  r) k1 P' ]% S
9 I- Z& L( y; W! J    当然不管怎么说，在机器里有这么一个不好的东西自然不是什么让人舒服的事情，似乎有颗定时炸弹埋在自己的机器里似的，不知道哪天就会爆炸。
7 E8 X, m( X. |' [+ L
. M6 k8 l; i2 N/ Z1 ?6 X    如果你已经不小心安装了这个病毒，请注意，由于QQ 2005 BETA3自带病毒在QQ卸载时不能完全被卸载干净，因此，那么推荐你按以下步骤手工彻底删除此病毒（在数台机器上试验通过）：
    1、关闭所有的IE窗口
    2、按住ctrl+alt+del,启动任务管理器，关闭所有rundll32进程（如果有提示无法关闭则不必理会），再关闭explore.exe
7 q. w  b7 a) m    3、用任务管理其启动命令行模式，到c:\windows\downloded program files下找到5个文件，2个为动态链接库文件（.dll文件），1个为可执行文件（.exe文件），2个为数据文件（.dat文件）。由于这些文件名都是随机生成，所以名字和图上的可能不一致，这个时候只能根据它的时间来判断了，注意9-18 16：38这个日期

# ~; `' y, K; I0 B/ ~
    4、用regedit命令打开系统注册表。在注册表中找到一个名为“_TBHTray”的启动项，删除掉这个启动项。
# z/ }- V5 r4 ^3 Z- |( h
; o4 b; Q6 r5 G: [& R4 a; ~    基本上可以认为这个病毒从你的机器里消失了！