惊天消息，腾讯QQ最新版中确认含有病毒程序

Anonymous_2 · 发表于 2005-9-30 21:37:42

QQ最近在其官方网站WWW.QQ.COM 上推出了QQ2005 beta3版，吸引了很多用户试用。这本来是件好事情，却爆出了这个版本的QQ可能含有病毒的消息。
为了证实这个消息的真实性，我赶紧到www.qq.com上下载了一个QQ2005 beta3，进行了详细而认真的测试。以下是测试结果：

1、这个版本的QQ安装时，生成4个额外的病毒文件：这个版本的QQ安装完毕后，除了生成QQ正常使用的文件外，的确会在系统文件夹c:\windows \downlo~1下生成多余的4个文件，其中2个为dll动态库文件，1个为exe可执行文件，一个为dat数据文件。这4个文件互相配合，形成了一套功能完备的病毒程序（病毒行为详见后面的分析）

2、病毒文件会在系统注册表中增加一个独立于QQ启动项之外的启动项：这4个文件被创建后，会在系统注册表中增加一个名为“_TBHTray”的启动项，路径指向刚才所发现的2个dll文件中的一个，以保证这些文件能在系统启动时被自动加载。因此，他们的自我启动，在此时与QQ是否存在无关了

3、病毒文件采用多种方法实现自我隐藏：不知出于何种目的，这4个文件在自我隐藏方面可谓煞费苦心，集多个典型病毒的隐藏方法于一身，分别是：

? 文件名随机生成，即便在同一台电脑上，每次安装QQ2005 BETA3，这4个文件的文件名都不相同，使得你很难找到

? 调用系统函数，将自身的文件属性设置为系统级，使得在windows窗口模式下根本无法看到这些病毒文件，必须使用dos命令行模式才可看到

? 无论你何时安装，它会自动将dll文件的生成时间设置为2005-9-8 16:38，这是QQ 2005beta3证实发布之前的日期，使你很容易忽略和QQ 2005 BETA3的联系

4、该病毒使用钩子技术实现了自我保护机制，使用户根本无法手工删除

该病毒在系统的最底层，挂了一个Debug钩子，这个钩子随着系统的启动而启动，即使在安全模式下也会运行，保证从最底层获得系统的控制权

此外，该病毒还另外挂了CBT钩子和键盘监视钩子，这两个钩子和前面提到的debug钩子相互配合，互相保护，不断刷新系统注册表及自身文件列表，一旦发现注册表项或文件项被删除，即会自动重新创建

这三个钩子均无法手工停止，即便杀死QQ所有的进程后依然在工作。

5、该病毒具备自我升级机制，会绕开防火墙随时从互联网上升级到更新的版本

该病毒的exe文件负责客户端与互联网服务器的通信与升级，此exe文件在用户每次打开IE时都会向互联网服务器发回信息，并根据服务器的指令决定是否升级。由于该程序利用了IE访问网络的80端口，因此会绕开绝大多数的网络防火墙，使得升级在不知不觉在进行！

6、该病毒记录了用户上网所一举一动，并很有可能将这些内容打包发给了它的服务器

由于该病毒在系统中挂了一个键盘钩子和CBT钩子，它截获并记录用户使用电脑的一举一动，包括访问的网址，地址栏输入的内容，搜索词，用户名及密码等。同时我还发现，在我打开IE 时，这个病毒均会向服务器会传一大堆的数据，由于这些数据已经加密，我无法获知究竟是什么内容，但根据数据排列和信息量来看，极有可能是用户上网的访问记录等极其敏感的隐私信息！

7、该病毒在QQ卸载后依然会存在在用户的机器中，无法彻底清除

如果将QQ 2005 BETA3卸载掉，这个时候，病毒文件依然会保留在机器里，并不被卸载掉。如果重新安装一遍，由于病毒的文件名是随机生成的，则又会在系统中增加一整套病毒文件。往复几次，则硬盘中的病毒文件数量将触目惊心！这些病毒文件互相嵌套，关系错综复杂，使得用户根本无法分清彼此间的关系，根本无法将该病毒彻底清除干净！（如图）

综上所述，此程序已经具备了病毒所有的特性：自我隐藏、自我变形、自我保护、快速传播、截获用户输入、悄悄升级等，因此，我可以得出颇为肯定的结论：
在QQ官方网站www.qq.com推出的qq 2005 beta3内嵌了一个地地道道的病毒程序！

由于分析工作没有全部完成，加之该病毒正处在潜伏期，目前还不是很清楚该病毒程序所做的一切行为，但目前已经能对该病毒的危害得出一定的结论了。该病毒会产生的危害有：
1、降低系统稳定性，导致部分用户电脑崩溃

由于该病毒中滥用文件变名、Debug钩子、自我保护等技术，使得系统稳定性大受影响。测试期间，测试机多次停止响应。如果使用工具强制删除掉该病毒其中的某个dll文件，由于该病毒自我保护机制的不成熟，甚至会使得启动无法启动。

由于QQ是全国装机量最大的软件，覆盖在上千万台电脑上，只要以上问题出现概率大于1%（事实上我测试时接近10%），必将导致数十万的用户无法继续使用电脑，危害相当严重！！

2、急剧降低系统性能

由于该病毒在不断的刷新注册表、文件列表，同时利用钩子截获用户的所有输入，因此使得系统性能极具下降，这种下降在打开IE时表现得尤为明显。在未安装此病毒的测试机上，连续打开10个IE后，再打开IE窗口的速度与没有明显减慢；在已安装此病毒的测试机上，打开第一个IE窗口时就明显感觉到顿挫感，在打开第10个窗口时，常需数秒以上，最长时甚至长达1分钟，无法忍受！！

在访问新浪、搜狐等大型网站时，也能明显感觉到打开网页的速度明显降低，常常点击链接后机器失去响应数秒。

3、窃取用户隐私

该病毒截获了用户所有的输入，因此安装了该病毒的机器即无隐私可言，上网的网址、输入的用户名、密码、搜索用过的搜索词均会被该病毒截获。最严重的，如果用户在机器上使用过银行的网上支付系统，则存在极大的风险丢失卡号及密码，被偷盗钱财。

4、有可能在互联网上引发又一次轮蠕虫冲击波，导致互联网瘫痪

由于附着在QQ上，所以该程序会以每天近百万的速度散播在互联网上，不需要太久，它将在数千万台电脑上潜伏。如果该病毒象其它病毒一样，集中在一天内爆发，那将是比冲击波更大的灾难，整个互联网，用户的机器，都将瘫痪，后果不堪设想！！

对于这样严重的病毒事件，强烈要求腾讯公司给出明确说法并对广大用户公开道歉！此外，我已经把这病毒程序提交给了诺顿、卡巴司机等多个病毒厂商，希望他们尽快能将其加入最新病毒库，保障网民的安全！同时我也奉劝广大互联网用户，在该问题解决之前，不要下载安装QQ 2005 BETA3

==========================
病毒样本程序下载地址：http://im.qq.com/qq/dlqq.shtml
测试机配置：P4 2.0G 512M内存 120G硬盘
发表时间： 09/27/05 15:47:48

longlong · 发表于 2005-9-30 22:45:04

网友提供的图片

Anonymous_2 · 发表于 2005-10-1 10:30:43

好样的.

Anonymous_2 · 发表于 2005-10-2 10:01:52

真可恶

Anonymous_2 · 发表于 2005-10-3 13:20:40

在网上传出QQ 2005 Beta3版有病毒事件的一周后，一向自大的腾讯终于有些坐不住了，在它的网站上发布了一则官方声明。这则声明中官腔十足，无甚意义，只是其中有一句话非常引入注目：

“……该插件还采用了’动态文件名’技术，以防止一些恶意插件和程序的强行修改和删除……
”
这句话让我心里涌起了一阵一阵的恶心，腾讯这厮是在把我等普通网民当傻瓜来骗，明明自己做事不地道被大家抓了把柄，还瞎编个“动态文件名技术”这样堂而皇之的名词来粉饰自己，用“防止恶意插件和程序删除”这样可笑的理由来显得自己的无辜和可怜！

为了大家不被腾讯的道貌岸然所蒙蔽，让我们先来了解一下

究竟什么叫“动态文件名技术”？？

所谓的“动态文件名技术”，说白了，就是随机产生文件名，早已有网友一针见血的指出：“即便在同一台电脑上，每次安装QQ2005 BETA3，那4个文件的文件名都不相同，使得用户很难找到。”我就想不通了，如果真的是一个正常的软件，为什么要不断更改自己的文件名，让大家很难发现，意欲何为？？

其次，什么样的软件使用“动态文件名技术”？？

查阅了一些相关资料，发现没有什么正规软件宣称自己使用过这种“动态文件名技术”，包括真的容易被恶意程序攻击的病毒查杀软件、系统安全类软件，所有的正规软件的文件名都是固定的，根本不会轻易改变。许多软件已经发布了十几个版本了，文件名都没有改动过。

让人触目惊心的是，只有木马病毒才会使用这种“动态文件名技术”。他们为了不被用户发现，也不被一些杀毒软件发现，每次安装、每次感染、每次重启它们的名字都在不停的变化，让所有的人找不到他的踪迹。真不知道腾讯是和这些木马病毒不谋而合，还是有意效仿！

最后，让我们来思考一下，腾讯使用“动态变名技术”真的是为了“防止恶意插件和程序删除”么？

腾讯的说法在逻辑上就有漏洞，即便真如它所说，动态变名是为了“防止恶意插件和程序删除”，那么我倒要反问一句，为什么恶意插件和程序会删除你的软件？为什么它们放着千百个正常软件不删除，放着那么多对它们有威胁的杀毒软件不删除，非要删除你一个和它们不相关的“正常软件”？
再退一步，就算恶意插件和程序会删除你的这个程序，那为什么恶意插件和程序就不会删除你的QQ主程序？为什么你不用动态变名技术来保护一下你自己的QQ主程序？让我们每次安装 QQ时，看到的不一定是qq.exe，而可能是sdkjfa.exe甚至是MSN.exe？？？？
事实上，保护自己方法有很多种，而文件变名技术是效果最差并且对用户干扰最大的一种，除了病毒以外没有正规软件采用。使用这种方法既表明了腾讯技术层面的黔驴技穷，也说明所谓的保护自己是其次，不被用户们发现才是其主要目的。

通过上面的分析，我们不难看出，腾讯之所以使用被病毒广泛采用的“动态变名技术”，根本不是为了防止什么“恶意插件和程序的删除”，而是用此方法逃过广大用户的眼睛，在QQ安装时顺便给大家埋下一个不为人知的隐性软件，以实现一些QQ不方便实现的灰色功能（如滥弹广告、收集用户隐私等），达到强奸广大网民的阴险目的！！

最后套用朱总理曾经说过的一句话：

善良的互联网网民们，你们要警惕呀！！

账号		自动登录	找回密码
密码			注册