關于QQ攜帶病毒的事情,和emu兄有了寫討論,發(fā)現(xiàn)自己也確實不好摻和在里面,在這里也要感謝emu老兄。而QQ是否帶毒,我也不發(fā)表任何評論了,只是摘抄一些最新的評論讓關注的人知道些信息吧。
以下引自Donews:
QQ病毒事件全程追蹤調(diào)查!---騰訊公司關于QQ病毒事件的歷史回顧:
起因: QQ最近在其官方網(wǎng)站WWW.QQ.COM上推出了QQ2005 beta3版,吸引了很多用戶試用。這本來是件好事情,卻爆出了這個版本的QQ可能含有病毒的消息。(延伸閱讀:網(wǎng)友怒曝:QQ 2005 Beta3版帶會自動改名的病毒)
為了證實這個消息的真實性,我趕緊到www.qq.com上下載了一個QQ2005 beta3,進行了詳細而認真的測試。
以下是測試結果:
1、這個版本的QQ安裝時,生成4個額外的病毒文件:這個版本的QQ安裝完畢后,除了生成QQ正常使用的文件外,的確會在系統(tǒng)文件夾c:\windows\downlo~1下生成多余的4個文件,其中2個為dll動態(tài)庫文件,1個為exe可執(zhí)行文件,一個為dat數(shù)據(jù)文件。這4個文件互相配合,形成了一套功能完備的病毒程序(病毒行為詳見后面的分析)
2、病毒文件會在系統(tǒng)注冊表中增加一個獨立于QQ啟動項之外的啟動項:這4個文件被創(chuàng)建后,會在系統(tǒng)注冊表中增加一個名為“_TBHTray”的啟動項,路徑指向剛才所發(fā)現(xiàn)的2個dll文件中的一個,以保證這些文件能在系統(tǒng)啟動時被自動加載。因此,他們的自我啟動,在此時與QQ是否存在無關了
3、病毒文件采用多種方法實現(xiàn)自我隱藏:不知出于何種目的,這4個文件在自我隱藏方面可謂煞費苦心,集多個典型病毒的隱藏方法于一身,分別是:
文件名隨機生成,即便在同一臺電腦上,每次安裝QQ2005 BETA3,這4個文件的文件名都不相同,使得你很難找到 調(diào)用系統(tǒng)函數(shù),將自身的文件屬性設置為系統(tǒng)級,使得在windows窗口模式下根本無法看到這些病毒文件,必須使用dos命令行模式才可看到。
無論你何時安裝,它會自動將dll文件的生成時間設置為2005-9-8 16:38,這是QQ 2005beta3證實發(fā)布之前的日期,使你很容易忽略和QQ 2005 BETA3的聯(lián)系。
4、該病毒使用鉤子技術實現(xiàn)了自我保護機制,使用戶根本無法手工刪除該病毒
在系統(tǒng)的最底層,掛了一個Debug鉤子,這個鉤子隨著系統(tǒng)的啟動而啟動,即使在安全模式下也會運行,保證從最底層獲得系統(tǒng)的控制權。
此外,該病毒還另外掛了CBT鉤子和鍵盤監(jiān)視鉤子,這兩個鉤子和前面提到的debug鉤子相互配合,互相保護,不斷刷新系統(tǒng)注冊表及自身文件列表,一旦發(fā)現(xiàn)注冊表項或文件項被刪除,即會自動重新創(chuàng)建。這三個鉤子均無法手工停止,即便殺死QQ所有的進程后依然在工作。
5、該病毒具備自我升級機制,會繞開防火墻隨時從互聯(lián)網(wǎng)上升級到更新的版本
該病毒的exe文件負責客戶端與互聯(lián)網(wǎng)服務器的通信與升級,此exe文件在用戶每次打開IE時都會向互聯(lián)網(wǎng)服務器發(fā)回信息,并根據(jù)服務器的指令決定是否升級。由于該程序利用了IE訪問網(wǎng)絡的80端口,因此會繞開絕大多數(shù)的網(wǎng)絡防火墻,使得升級在不知不覺在進行!
6、該病毒記錄了用戶上網(wǎng)所一舉一動,并很有可能將這些內(nèi)容打包發(fā)給了它的服務器
由于該病毒在系統(tǒng)中掛了一個鍵盤鉤子和CBT鉤子,它截獲并記錄用戶使用電腦的一舉一動,包括訪問的網(wǎng)址,地址欄輸入的內(nèi)容,搜索詞,用戶名及密碼等。同時我還發(fā)現(xiàn),在我打開IE 時,這個病毒均會向服務器會傳一大堆的數(shù)據(jù),由于這些數(shù)據(jù)已經(jīng)加密,我無法獲知究竟是什么內(nèi)容,但根據(jù)數(shù)據(jù)排列和信息量來看,極有可能是用戶上網(wǎng)的訪問記錄等極其敏感的隱私信息!
7、該病毒在QQ卸載后依然會存在在用戶的機器中,無法徹底清除
如果將QQ 2005 BETA3卸載掉,這個時候,病毒文件依然會保留在機器里,并不被卸載掉。如果重新安裝一遍,由于病毒的文件名是隨機生成的,則又會在系統(tǒng)中增加一整套病毒文件。往復幾次,則硬盤中的病毒文件數(shù)量將觸目驚心!這些病毒文件互相嵌套,關系錯綜復雜,使得用戶根本無法分清彼此間的關系,根本無法將該病毒徹底清除干凈!
綜上所述,此程序已經(jīng)具備了病毒所有的特性:自我隱藏、自我變形、自我保護、快速傳播、截獲用戶輸入、悄悄升級等,因此,我可以得出頗為肯定的結論:
在QQ官方網(wǎng)站www.qq.com推出的qq 2005 beta3內(nèi)嵌了一個地地道道的病毒程序!
由于分析工作沒有全部完成,加之該病毒正處在潛伏期,目前還不是很清楚該病毒程序所做的一切行為,但目前已經(jīng)能對該病毒的危害得出一定的結論了。該病毒會產(chǎn)生的危害有:
1、降低系統(tǒng)穩(wěn)定性,導致部分用戶電腦崩潰
由于該病毒中濫用文件變名、Debug鉤子、自我保護等技術,使得系統(tǒng)穩(wěn)定性大受影響。測試期間,測試機多次停止響應。如果使用工具強制刪除掉該病毒其中的某個dll文件,由于該病毒自我保護機制的不成熟,甚至會使得啟動無法啟動。
由于QQ是全國裝機量最大的軟件,覆蓋在上千萬臺電腦上,只要以上問題出現(xiàn)概率大于1%(事實上我測試時接近10%),必將導致數(shù)十萬的用戶無法繼續(xù)使用電腦,危害相當嚴重!!
2、急劇降低系統(tǒng)性能
由于該病毒在不斷的刷新注冊表、文件列表,同時利用鉤子截獲用戶的所有輸入,因此使得系統(tǒng)性能極具下降,這種下降在打開IE時表現(xiàn)得尤為明顯。在未安裝此病毒的測試機上,連續(xù)打開10個IE后,再打開IE窗口的速度與沒有明顯減慢;在已安裝此病毒的測試機上,打開第一個IE窗口時就明顯感覺到頓挫感,在打開第10個窗口時,常需數(shù)秒以上,最長時甚至長達1分鐘,無法忍受!!
在訪問新浪、搜狐等大型網(wǎng)站時,也能明顯感覺到打開網(wǎng)頁的速度明顯降低,常常點擊鏈接后機器失去響應數(shù)秒。
3、竊取用戶隱私
該病毒截獲了用戶所有的輸入,因此安裝了該病毒的機器即無隱私可言,上網(wǎng)的網(wǎng)址、輸入的用戶名、密碼、搜索用過的搜索詞均會被該病毒截獲。最嚴重的,如果用戶在機器上使用過銀行的網(wǎng)上支付系統(tǒng),則存在極大的風險丟失卡號及密碼,被偷盜錢財。
4、有可能在互聯(lián)網(wǎng)上引發(fā)又一次輪蠕蟲沖擊波,導致互聯(lián)網(wǎng)癱瘓
由于附著在QQ上,所以該程序會以每天近百萬的速度散播在互聯(lián)網(wǎng)上,不需要太久,它將在數(shù)千萬臺電腦上潛伏。如果該病毒象其它病毒一樣,集中在一天內(nèi)爆發(fā),那將是比沖擊波更大的災難,整個互聯(lián)網(wǎng),用戶的機器,都將癱瘓,后果不堪設想!!
對于這樣嚴重的病毒事件,強烈要求騰訊公司給出明確說法并對廣大用戶公開道歉!此外,我已經(jīng)把這病毒程序提交給了諾頓、卡巴司機等多個病毒廠商,希望他們盡快能將其加入最新病毒庫,保障網(wǎng)民的安全!同時我也奉勸廣大互聯(lián)網(wǎng)用戶,在該問題解決之前,不要下載安裝QQ 2005 BETA3
結果:
今天看了這篇通告:
尊敬的用戶:
騰訊QQ2005 Beta3中,有一個可選擇安裝的地址欄搜索插件。該插件采用了“動態(tài)文件名”技術,此項技術在一些反病毒軟件中可能引起誤報,可能會給部分用戶帶來困擾,對此我們深表歉意。
為此,我們修正了地址欄搜索插件,去除了容易誤會的“動態(tài)文件名”技術,用戶可以自主選擇是否下載升級。
感謝廣大用戶對騰訊公司的關愛和支持。
騰訊公司
二OO五年九月三十日
評論:
我想肯定是QQ安全中心(和金山毒霸合作搞的)拿我們用戶當試驗品,而騰訊公司為了逃避責任,力圖欺騙QQ大眾不懂技術,用"動態(tài)文件名"來蒙我們.沒有一點誠意!
同時我警告一些殺毒軟件公司不要干一些違背職業(yè)道德的事,會遭到大眾的漫罵的.
必須公開道歉!
【文章結束】
作者說得似乎有點危言聳聽,不過俺還是不發(fā)表評論的好,呵呵,只是今天donews又把這件事情翻起來抄,覺得有意思,所以將內(nèi)容轉過來給咱們blogjava的人看看。
btw:前段時間下了lumaqq舊版的源代碼,分析了一下,程序比較大,不知道什么時候才能看完,畢竟lumaqq是Java編寫的,而且功能還比較強(呵呵,可以通過插件發(fā)現(xiàn)隱身的朋友哦,夠實在了吧),其他的如Gaim這些跟Java八輩子打不到一起,而Jxta在國內(nèi)基本沒有了聲息,郁悶啊,以前還花了幾個星期功夫把Jxta的教程看完了,以為可以趕上躺,湊個熱鬧,可惜啊……