|
|
騰訊QQ最新版QQ 2005beta3中確認含有病毒程序!
:
緊急——騰訊QQ最新版QQ 2005beta3中確認含有病毒程序!
QQ最近在其官方網站
www.QQ.COM上周推出了QQ2005 beta3版,吸引了很多用戶試用。這本來是件好事情,卻爆出了這個版本的QQ可能含有病毒的消息。
為了證實這個消息的真實性,我趕緊到www.qq.com上下載了一個QQ2005
beta3,進行了詳細而認真的測試。以下是測試結果:
1、這個版本的QQ安裝時,生成4個額外的病毒文件:這個版本的QQ安裝完畢後,除了生成QQ正常使用的文件外,的確會在系統文件夾c:\windows \downlo~1下生成多餘的4個文件,其中2個為dll動態庫文件,1個為exe可執行文件,一個為dat數據文件。這4個文件互相配合,形成了一套功能完備的病毒程序(病毒行為詳見後面的分析)
2、病毒文件會在系統註冊表中增加一個獨立於QQ啟動項之外的啟動項:這4個文件被創建後,會在系統註冊表中增加一個名為“_TBHTray”的啟動項,路徑指向剛才所發現的2個dll文件中的一個,以保證這些文件能在系統啟動時被自動加載。因此,他們的自我啟動,在此時與QQ是否存在無關了
3、病毒文件採用多種方法實現自我隱藏:不知出於何種目的,這4個文件在自我隱藏方面可謂煞費苦心,集多個典型病毒的隱藏方法於一身,分別是:
?
文件名隨機生成,即便在同一台電腦上,每次安裝QQ2005 BETA3,這4個文件的文件名都不相同,使得你很難找到
?
調用系統函數,將自身的文件屬性設置為系統級,使得在windows窗口模式下根本無法看到這些病毒文件,必須使用dos命令行模式才可看到
?
無論你何時安裝,它會自動將dll文件的生成時間設置為2005-9-8 16:38,這是QQ 2005beta3證實發布之前的日期,使你很容易忽略和QQ 2005 BETA3的聯系
4、該病毒使用鉤子技術實現了自我保護機制,使用戶根本無法手工刪除
該病毒在系統的最底層,掛了一個Debug鉤子,這個鉤子隨著系統的啟動而啟動,即使在安全模式下也會運行,保證從最底層獲得系統的控制權
此外,該病毒還另外掛了CBT鉤子和鍵盤監視鉤子,這兩個鉤子和前面提到的debug鉤子相互配合,互相保護,不斷刷新系統註冊表及自身文件列表,一旦發現註冊表項或文件項被刪除,即會自動重新創建這三個鉤子均無法手工停止,即便殺死QQ所有的進程後依然在工作。
5、該病毒具備自我升級機制,會繞開防火牆隨時從互聯網上升級到更新的版本
該病毒的exe文件負責客戶端與互聯網服務器的通信與升級,此exe文件在用戶每次打開IE時都會向互聯網服務器發回信息,並根據服務器的指令決定是否升級。由於該程序利用了IE訪問網絡的80端口,因此會繞開絕大多數的網絡防火牆,使得升級在不知不覺在進行!
6、該病毒記錄了用戶上網所一舉一動,並很有可能將這些內容打包發給了它的服務器
由於該病毒在系統中掛了一個鍵盤鉤子和CBT鉤子,它截獲並記錄用戶使用電腦的一舉一動,包括訪問的網址,地址欄輸入的內容,搜索詞,用戶名及密碼等。同時我還發現,在我打開IE
時,這個病毒均會向服務器會傳一大堆的數據,由於這些數據已經加密,我無法獲知究竟是什麽內容,但根據數據排列和信息量來看,極有可能是用戶上網的訪問記錄等極其敏感的隱私信息!
7、該病毒在QQ卸載後依然會存在在用戶的機器中,無法徹底清除
如果將QQ 2005 BETA3卸載掉,這個時候,病毒文件依然會保留在機器里,並不被卸載掉。如果重新安裝一遍,由於病毒的文件名是隨機生成的,則又會在系統中增加一整套病毒文件。往復幾次,則硬盤中的病毒文件數量將觸目驚心!這些病毒文件互相嵌套,關系錯綜復雜,使得用戶根本無法分清彼此間的關系,根本無法將該病毒徹底清除乾凈!(如圖)
綜上所述,此程序已經具備了病毒所有的特性:自我隱藏、自我變形、自我保護、快速傳播、截獲用戶輸入、悄悄升級等,因此,我可以得出頗為肯定的結論:
在QQ官方網站www.qq.com推出的qq 2005 beta3內嵌了一個地地道道的病毒程序!由於分析工作沒有全部完成,加之該病毒正處在潛伏期,目前還不是很清楚該病毒程序所做的一切行為,但目前已經能對該病毒的危害得出一定的結論了。該病毒會產生的危害有:
1、降低系統穩定性,導致部分用戶電腦崩潰
由於該病毒中濫用文件變名、Debug鉤子、自我保護等技術,使得系統穩定性大受影響。測試期間,測試機多次停止響應。如果使用工具強制刪除掉該病毒其中的某個dll文件,由於該病毒自我保護機制的不成熟,甚至會使得啟動無法啟動。
由於QQ是全國裝機量最大的軟件,覆蓋在上千萬台電腦上,只要以上問題出現概率大於1%(事實上我測試時接近10%),必將導致數虻撓沒薹絛褂玫縋裕:ο嗟毖現兀。?
2、急劇降低系統性能
由於該病毒在不斷的刷新註冊表、文件列表,同時利用鉤子截獲用戶的所有輸入,因此使得系統性能極具下降,這種下降在打開IE時表現得尤為明顯。在未安裝此病毒的測試機上,連續打開10個IE後,再打開IE窗口的速度與沒有明顯減慢;在已安裝此病毒的測試機上,打開第一個IE窗口時就明顯感覺到頓挫感,在打開第10個窗口時,常需數秒以上,最長時甚至長達1分鐘,無法忍受!!
在訪問新浪、搜狐等大型網站時,也能明顯感覺到打開網頁的速度明顯降低,常常點擊鏈接後機器失去響應數秒。
3、竊取用戶隱私
該病毒截獲了用戶所有的輸入,因此安裝了該病毒的機器即無隱私可言,上網的網址、輸入的用戶名、密碼、搜索用過的搜索詞均會被該病毒截獲。最嚴重的,如果用戶在機器上使用過銀行的網上支付系統,則存在極大的風險丟失卡號及密碼,被偷盜錢財。
4、有可能在互聯網上引發又一次輪蠕蟲沖擊波,導致互聯網癱瘓
由於附著在QQ上,所以該程序會以每天近百萬的速度散播在互聯網上,不需要太久,它將在數千萬台電腦上潛伏。如果該病毒象其它病毒一樣,集中在一天內爆發,那將是比沖擊波更大的災難,整個互聯網,用戶的機器,都將癱瘓,後果不堪設想!!
對於這樣嚴重的病毒事件,強烈要求騰訊公司給出明確說法並對廣大用戶公開道歉!此外,我已經把這病毒程序提交給了諾頓、卡巴司機等多個病毒廠商,希望他們盡快能將其加入最新病毒庫,保障網民的安全!同時我也奉勸廣大互聯網用戶,在該問題解決之前,不要下載安裝
QQ 2005 BETA3
==========================
病毒樣本程序下載地址:
http://im.qq.com/qq/dlqq.shtml
QQ最近在它的官方網站
www.qq.com
正式推出了2005beta3版,據說好處多多,今天我也去趕潮流下載了一個。
安裝過程和以前的版本沒什麽改變大的變化,無非是不斷點擊下一步,就開始了安裝過程。
安裝開始進行的蠻順利的,可就在QQ馬上要安裝完時,突然出現了個意想不到的情況:殺毒軟件KV 2005跳出了個警告框,說程序wyjcw.dll試圖寫入系統啟動項!
真是奇怪,這是個什麽鬼程序呀,看樣子和qq沒什麽關系呀,怎麽進入我的系統的呢?
先不想那麽多了,趕緊打開註冊表,找到這個程序對應的啟動項—那個叫_TBHTray的項,按下del鍵工先刪了它!沒想到的是,刪完再一刷新,我靠,居然這個鍵值又被恢復了!!您遇到了同樣的問題嗎?
順著註冊表鍵值找到程序文件,用命令行方式刪除文件wyjcw.dll,居然提示刪除失敗!!
這下我可真緊張了,這家夥還自我保護呢,不是真的中了病毒了吧?我沒有上過什麽亂七八糟的網站呀!難道是剛才下載QQ的時候不小心被感染了?應該不會呀,這可是從QQ官方網站直接下載的呀。
趕緊用KV2005掃描一遍硬盤,提示沒有找到病毒。究竟這不是一個病毒,還是這個病毒太新了,殺毒軟件還沒有加入病毒庫?
一時間我沒了主意,不知如何是好。想來想去,覺得這個程序可能還是和QQ有關,畢竟是在安裝QQ 2005beta3時出現的,為什麽不卸載掉QQ試試?
火速打開添加刪除程序,發現QQ2005 beta3版居然寫了兩個卸載項。不管那麽多,全卸了再說。
卸載完畢,重啟電腦,再查看註冊表的啟動項。我的天,我簡直不敢相信我的眼睛,那個名字為_TBHTray,文件為wyjcw.dll的啟動項居然消失了!這就是說,QQ
2005 BETA3版中自己帶了這個病毒的程序!!
為了最終確保不是其它因素引起的,我又找了台機器,重新到
www.qq.com
下載了一個QQ2005
BETA3安裝。安裝完畢後,再查看了一下註冊表的啟動項,果然看到了那個_TBHTray的啟動項,但是文件名居然變成了“Yqvsayc.dll”。
文件名還會變化,這也太恐怖了吧?我趕緊又重新裝了幾遍qq2005 beta3,仔細查看,發現每次文件名字真的不一樣!
恐怖!我的腦子里只有這兩個字了。全國發行量最大的QQ程序官方版中居然帶了一個會自動改名、自我保護的病毒程序!!這對中國幾千萬的互聯網用戶來說,意味著什麽? |
|
IP卡
狗仔卡
发表于 2005-9-25 21:20:16
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
