【大紀元9月30日訊】QQ最近在其官方網站WWW.QQ.COM 上推出了QQ2005 beta3版,吸引了很多用戶試用。這本來是件好事情,卻爆出了這個版本的QQ可能含有病毒的消息。
為了証實這個消息的真實性,我趕緊到www.qq.com上下載了一個QQ2005 beta3,進行了詳細而認真的測試。以下是測試結果:
1、這個版本的QQ安裝時,生成4個額外的病毒文件:這個版本的QQ安裝完畢後,除了生成QQ正常使用的文件外,的確會在系統文件夾c:windows downlo~1下生成多余的4個文件,其中2個為dll動態庫文件,1個為exe可執行文件,一個為dat數據文件。這4個文件互相配合,形成了一套功能完備的病毒程序(病毒行為詳見後面的分析)
2、病毒文件會在系統注冊表中增加一個獨立於QQ啟動項之外的啟動項:這4個文件被創建後,會在系統注冊表中增加一個名為“_TBHTray”的啟動項,路徑指向剛才所發現的2個dll文件中的一個,以保証這些文件能在系統啟動時被自動加載。因此,他們的自我啟動,在此時與QQ是否存在無關了
3、病毒文件採用多種方法實現自我隱藏:不知出於何種目的,這4個文件在自我隱藏方面可謂煞費苦心,集多個典型病毒的隱藏方法於一身,分別是:
f?文件名隨機生成,即便在同一臺電腦上,每次安裝QQ2005 BETA3,這4個文件的文件名都不相同,使得你很難找到
f?調用系統函數,將自身的文件屬性設置為系統級,使得在windows窗口模式下根本無法看到這些病毒文件,必須使用dos命令行模式才可看到
f?無論你何時安裝,它會自動將dll文件的生成時間設置為2005-9-8 16:38,這是QQ 2005beta3証實發布之前的日期,使你很容易忽略和QQ 2005 BETA3的聯系
4、該病毒使用鉤子技術實現了自我保護機制,使用戶根本無法手工刪除
該病毒在系統的最底層,挂了一個Debug鉤子,這個鉤子隨著系統的啟動而啟動,即使在安全模式下也會運行,保証從最底層獲得系統的控制權
此外,該病毒還另外挂了CBT鉤子和鍵盤監視鉤子,這兩個鉤子和前面提到的debug鉤子相互配合,互相保護,不斷刷新系統注冊表及自身文件列表,一旦發現注冊表項或文件項被刪除,即會自動重新創建
這三個鉤子均無法手工停止,即便殺死QQ所有的進程後依然在工作。
5、該病毒具備自我升級機制,會繞開防火牆隨時從互聯網上升級到更新的版本
該病毒的exe文件負責客戶端與互聯網服務器的通信與升級,此exe文件在用戶每次打開IE時都會向互聯網服務器發回信息,並根據服務器的指令決定是否升級。由於該程序利用了IE訪問網絡的80端口,因此會繞開絕大多數的網絡防火牆,使得升級在不知不覺在進行!
6、該病毒記錄了用戶上網所一舉一動,並很有可能將這些內容打包發給了它的服務器
由於該病毒在系統中挂了一個鍵盤鉤子和CBT鉤子,它截獲並記錄用戶使用電腦的一舉一動,包括訪問的網址,地址欄輸入的內容,搜索詞,用戶名及密碼等。同時我還發現,在我打開IE 時,這個病毒均會向服務器會傳一大堆的數據,由於這些數據已經加密,我無法獲知究竟是什麼內容,但根據數據排列和信息量來看,極有可能是用戶上網的訪問記錄等極其敏感的隱私信息!
7、該病毒在QQ卸載後依然會存在在用戶的機器中,無法徹底清除
如果將QQ 2005 BETA3卸載掉,這個時候,病毒文件依然會保留在機器裡,並不被卸載掉。如果重新安裝一遍,由於病毒的文件名是隨機生成的,則又會在系統中增加一整套病毒文件。往復幾次,則硬盤中的病毒文件數量將觸目驚心!這些病毒文件互相嵌套,關系錯綜復雜,使得用戶根本無法分清彼此間的關系,根本無法將該病毒徹底清除干淨!(如圖)
綜上所述,此程序已經具備了病毒所有的特性:自我隱藏、自我變形、自我保護、快速傳播、截獲用戶輸入、悄悄升級等,因此,我可以得出頗為肯定的結論:
在QQ官方網站www.qq.com推出的qq 2005 beta3內嵌了一個地地道道的病毒程序!
由於分析工作沒有全部完成,加之該病毒正處在潛伏期,目前還不是很清楚該病毒程序所做的一切行為,但目前已經能對該病毒的危害得出一定的結論了。該病毒會產生的危害有:
1、降低系統穩定性,導致部分用戶電腦崩潰
由於該病毒中濫用文件變名、Debug鉤子、自我保護等技術,使得系統穩定性大受影響。測試期間,測試機多次停止響應。如果使用工具強制刪除掉該病毒其中的某個dll文件,由於該病毒自我保護機制的不成熟,甚至會使得啟動無法啟動。
由於QQ是全國裝機量最大的軟件,覆蓋在上千萬臺電腦上,隻要以上問題出現概率大於1%(事實上我測試時接近10%),必將導致數十萬的用戶無法繼續使用電腦,危害相當嚴重!!
2、急劇降低系統性能
由於該病毒在不斷的刷新注冊表、文件列表,同時利用鉤子截獲用戶的所有輸入,因此使得系統性能極具下降,這種下降在打開IE時表現得尤為明顯。在未安裝此病毒的測試機上,連續打開10個IE後,再打開IE窗口的速度與沒有明顯減慢﹔在已安裝此病毒的測試機上,打開第一個IE窗口時就明顯感覺到頓挫感,在打開第10個窗口時,常需數秒以上,最長時甚至長達1分鐘,無法忍受!!
在訪問新浪、搜狐等大型網站時,也能明顯感覺到打開網頁的速度明顯降低,常常點擊鏈接後機器失去響應數秒。
3、竊取用戶隱私
該病毒截獲了用戶所有的輸入,因此安裝了該病毒的機器即無隱私可言,上網的網址、輸入的用戶名、密碼、搜索用過的搜索詞均會被該病毒截獲。最嚴重的,如果用戶在機器上使用過銀行的網上支付系統,則存在極大的風險丟失卡號及密碼,被偷盜錢財。
4、有可能在互聯網上引發又一次輪蠕虫沖擊波,導致互聯網癱瘓
由於附著在QQ上,所以該程序會以每天近百萬的速度散播在互聯網上,不需要太久,它將在數千萬臺電腦上潛伏。如果該病毒象其它病毒一樣,集中在一天內爆發,那將是比沖擊波更大的災難,整個互聯網,用戶的機器,都將癱瘓,後果不堪設想!!
對於這樣嚴重的病毒事件,強烈要求騰訊公司給出明確說法並對廣大用戶公開道歉!此外,我已經把這病毒程序提交給了諾頓、卡巴司機等多個病毒廠商,希望他們盡快能將其加入最新病毒庫,保障網民的安全!同時我也奉勸廣大互聯網用戶,在該問題解決之前,不要下載安裝QQ 2005 BETA3
==========================
病毒樣本程序下載地址:http://im.qq.com/qq/dlqq.shtml
測試機配置:P4 2.0G 512M內存 120G硬盤
發表時間: 09/27/05 15:47:48
(圖片來源網絡)(http://www.dajiyuan.com)
