朋的博客

MySQL资料,Java技术,管理思想,博弈论,Ajax,XP极限编程,H.264,HEVC,HDR
随笔 - 86, 文章 - 59, 评论 - 1069, 引用 - 0
数据加载中……

QQ携带病毒事件后续

      关于QQ携带病毒的事情,和emu兄有了写讨论,发现自己也确实不好掺和在里面,在这里也要感谢emu老兄。而QQ是否带毒,我也不发表任何评论了,只是摘抄一些最新的评论让关注的人知道些信息吧。

以下引自Donews:
QQ病毒事件全程追踪调查!---腾讯公司关于QQ病毒事件的历史回顾:

起因: QQ最近在其官方网站WWW.QQ.COM上推出了QQ2005 beta3版,吸引了很多用户试用。这本来是件好事情,却爆出了这个版本的QQ可能含有病毒的消息。(延伸阅读:网友怒曝:QQ 2005 Beta3版带会自动改名的病毒)

  为了证实这个消息的真实性,我赶紧到www.qq.com上下载了一个QQ2005 beta3,进行了详细而认真的测试。

  以下是测试结果:

  1、这个版本的QQ安装时,生成4个额外的病毒文件:这个版本的QQ安装完毕后,除了生成QQ正常使用的文件外,的确会在系统文件夹c:\windows\downlo~1下生成多余的4个文件,其中2个为dll动态库文件,1个为exe可执行文件,一个为dat数据文件。这4个文件互相配合,形成了一套功能完备的病毒程序(病毒行为详见后面的分析)

  2、病毒文件会在系统注册表中增加一个独立于QQ启动项之外的启动项:这4个文件被创建后,会在系统注册表中增加一个名为“_TBHTray”的启动项,路径指向刚才所发现的2个dll文件中的一个,以保证这些文件能在系统启动时被自动加载。因此,他们的自我启动,在此时与QQ是否存在无关了

  3、病毒文件采用多种方法实现自我隐藏:不知出于何种目的,这4个文件在自我隐藏方面可谓煞费苦心,集多个典型病毒的隐藏方法于一身,分别是: 
            文件名随机生成,即便在同一台电脑上,每次安装QQ2005 BETA3,这4个文件的文件名都不相同,使得你很难找到 调用系统函数,将自身的文件属性设置为系统级,使得在windows窗口模式下根本无法看到这些病毒文件,必须使用dos命令行模式才可看到。 
            无论你何时安装,它会自动将dll文件的生成时间设置为2005-9-8 16:38,这是QQ 2005beta3证实发布之前的日期,使你很容易忽略和QQ 2005 BETA3的联系。

  4、该病毒使用钩子技术实现了自我保护机制,使用户根本无法手工删除该病毒
  在系统的最底层,挂了一个Debug钩子,这个钩子随着系统的启动而启动,即使在安全模式下也会运行,保证从最底层获得系统的控制权。

  此外,该病毒还另外挂了CBT钩子和键盘监视钩子,这两个钩子和前面提到的debug钩子相互配合,互相保护,不断刷新系统注册表及自身文件列表,一旦发现注册表项或文件项被删除,即会自动重新创建。这三个钩子均无法手工停止,即便杀死QQ所有的进程后依然在工作。

  5、该病毒具备自我升级机制,会绕开防火墙随时从互联网上升级到更新的版本

  该病毒的exe文件负责客户端与互联网服务器的通信与升级,此exe文件在用户每次打开IE时都会向互联网服务器发回信息,并根据服务器的指令决定是否升级。由于该程序利用了IE访问网络的80端口,因此会绕开绝大多数的网络防火墙,使得升级在不知不觉在进行!

  6、该病毒记录了用户上网所一举一动,并很有可能将这些内容打包发给了它的服务器

  由于该病毒在系统中挂了一个键盘钩子和CBT钩子,它截获并记录用户使用电脑的一举一动,包括访问的网址,地址栏输入的内容,搜索词,用户名及密码等。同时我还发现,在我打开IE 时,这个病毒均会向服务器会传一大堆的数据,由于这些数据已经加密,我无法获知究竟是什么内容,但根据数据排列和信息量来看,极有可能是用户上网的访问记录等极其敏感的隐私信息!

  7、该病毒在QQ卸载后依然会存在在用户的机器中,无法彻底清除

  如果将QQ 2005 BETA3卸载掉,这个时候,病毒文件依然会保留在机器里,并不被卸载掉。如果重新安装一遍,由于病毒的文件名是随机生成的,则又会在系统中增加一整套病毒文件。往复几次,则硬盘中的病毒文件数量将触目惊心!这些病毒文件互相嵌套,关系错综复杂,使得用户根本无法分清彼此间的关系,根本无法将该病毒彻底清除干净!

  综上所述,此程序已经具备了病毒所有的特性:自我隐藏、自我变形、自我保护、快速传播、截获用户输入、悄悄升级等,因此,我可以得出颇为肯定的结论:

  在QQ官方网站www.qq.com推出的qq 2005 beta3内嵌了一个地地道道的病毒程序!

  由于分析工作没有全部完成,加之该病毒正处在潜伏期,目前还不是很清楚该病毒程序所做的一切行为,但目前已经能对该病毒的危害得出一定的结论了。该病毒会产生的危害有:

  1、降低系统稳定性,导致部分用户电脑崩溃

  由于该病毒中滥用文件变名、Debug钩子、自我保护等技术,使得系统稳定性大受影响。测试期间,测试机多次停止响应。如果使用工具强制删除掉该病毒其中的某个dll文件,由于该病毒自我保护机制的不成熟,甚至会使得启动无法启动。
  由于QQ是全国装机量最大的软件,覆盖在上千万台电脑上,只要以上问题出现概率大于1%(事实上我测试时接近10%),必将导致数十万的用户无法继续使用电脑,危害相当严重!!

  2、急剧降低系统性能

  由于该病毒在不断的刷新注册表、文件列表,同时利用钩子截获用户的所有输入,因此使得系统性能极具下降,这种下降在打开IE时表现得尤为明显。在未安装此病毒的测试机上,连续打开10个IE后,再打开IE窗口的速度与没有明显减慢;在已安装此病毒的测试机上,打开第一个IE窗口时就明显感觉到顿挫感,在打开第10个窗口时,常需数秒以上,最长时甚至长达1分钟,无法忍受!!

  在访问新浪、搜狐等大型网站时,也能明显感觉到打开网页的速度明显降低,常常点击链接后机器失去响应数秒。

  3、窃取用户隐私

  该病毒截获了用户所有的输入,因此安装了该病毒的机器即无隐私可言,上网的网址、输入的用户名、密码、搜索用过的搜索词均会被该病毒截获。最严重的,如果用户在机器上使用过银行的网上支付系统,则存在极大的风险丢失卡号及密码,被偷盗钱财。

  4、有可能在互联网上引发又一次轮蠕虫冲击波,导致互联网瘫痪

  由于附着在QQ上,所以该程序会以每天近百万的速度散播在互联网上,不需要太久,它将在数千万台电脑上潜伏。如果该病毒象其它病毒一样,集中在一天内爆发,那将是比冲击波更大的灾难,整个互联网,用户的机器,都将瘫痪,后果不堪设想!!

  对于这样严重的病毒事件,强烈要求腾讯公司给出明确说法并对广大用户公开道歉!此外,我已经把这病毒程序提交给了诺顿、卡巴司机等多个病毒厂商,希望他们尽快能将其加入最新病毒库,保障网民的安全!同时我也奉劝广大互联网用户,在该问题解决之前,不要下载安装QQ 2005 BETA3

结果:


今天看了这篇通告:

尊敬的用户:


腾讯QQ2005 Beta3中,有一个可选择安装的地址栏搜索插件。该插件采用了“动态文件名”技术,此项技术在一些反病毒软件中可能引起误报,可能会给部分用户带来困扰,对此我们深表歉意。


为此,我们修正了地址栏搜索插件,去除了容易误会的“动态文件名”技术,用户可以自主选择是否下载升级。


感谢广大用户对腾讯公司的关爱和支持。


腾讯公司

二OO五年九月三十日

评论:

我想肯定是QQ安全中心(和金山毒霸合作搞的)拿我们用户当试验品,而腾讯公司为了逃避责任,力图欺骗QQ大众不懂技术,用"动态文件名"来蒙我们.没有一点诚意!

同时我警告一些杀毒软件公司不要干一些违背职业道德的事,会遭到大众的漫骂的.

必须公开道歉!

【文章结束】

作者说得似乎有点危言耸听,不过俺还是不发表评论的好,呵呵,只是今天donews又把这件事情翻起来抄,觉得有意思,所以将内容转过来给咱们blogjava的人看看。
btw:前段时间下了lumaqq旧版的源代码,分析了一下,程序比较大,不知道什么时候才能看完,毕竟lumaqq是Java编写的,而且功能还比较强(呵呵,可以通过插件发现隐身的朋友哦,够实在了吧),其他的如Gaim这些跟Java八辈子打不到一起,而Jxta在国内基本没有了声息,郁闷啊,以前还花了几个星期功夫把Jxta的教程看完了,以为可以赶上躺,凑个热闹,可惜啊……

posted on 2005-10-06 10:41 benchensz 阅读(903) 评论(2)  编辑  收藏 所属分类: 随便写写(比较有用,值得看看)

评论

# re: QQ携带病毒事件后续  回复  更多评论   

引用文章不给原文连接不好。我昨天就在donews上面找这篇的原文了,不过找不到。原文连接 http://home.donews.com/donews/article/8/84823.html 早已被删除。

谣言散播出来了以后源出处却已毁尸灭迹死无对证,这个枪手手段果然高明。现在网上到处都有转这篇文章的,反正谁也不用负责任。

我们还是来看看文章本身吧。文章的前面一大部分都是旧内容了,作者显然相信危言耸听一万遍就可以变成真理,值得一看的只有后面最新的几句:

---------------------------------------------------------------------------
我想肯定是QQ安全中心(和金山毒霸合作搞的)拿我们用户当试验品,而腾讯公司为了逃避责任,力图欺骗QQ大众不懂技术,用"动态文件名"来蒙我们.没有一点诚意!

同时我警告一些杀毒软件公司不要干一些违背职业道德的事,会遭到大众的漫骂的.

---------------------------------------------------------------------------

枪手的这个“肯定”有任何依据吗?他凭什么这么肯定呢?
枪手号称“我已经把这病毒程序提交给了诺顿、卡巴司机等多个病毒厂商”,这么多天过去了,有否哪一个杀毒软件厂商(这个枪手居然管人家叫“病毒厂商”呵呵)发布了相关的安全公告呢?按照枪手的意思,腾讯不但“和金山毒霸合作搞的”,而且还和诸多病毒厂商共同策划了这样一个病毒散播事件,大家可以想想有没有这样的可能性呢?

木秀于林,风必催之。中国一共才做出来几个可以和微软较劲的软件,几个IM却居然要在这里窝里斗,让人心寒。
2005-10-09 10:07 | emu

# re: QQ携带病毒事件后续  回复  更多评论   

国人现在大多心态都不平衡啊。不过我觉得哪里都是这样的了,即使是微软在美国,也不会是那么平静的。只是国内现在的不平静更多是跟社会的结构有关吧,也许要回到以前我经常讨论的事情上,中国基尼系数过高(具体多少不记得了),不足5%的人占有了社会90%的财富(已经不是我们熟悉的80/20法则了),然而政府的主要收入又是那95%的不富有的人支持的……仇富心理是什么时代都存在的了,所以QQ被其他的国内软件厂商仇视也就不足为奇了(不是同类的比较,只是想到这里就说到这里了,关于那5%富有的人的问题大家也就不去想了,QQ还是比较实在的去挣良心钱的)。
(忘了给原文的链接了,呵呵,不过开始只是想给大家看看这个消息而已,没想去分析那么多了,不想emu兄弟的思路得那么严谨,确实佩服啊)
2005-10-09 20:38 | 陈朋奕

只有注册用户登录后才能发表评论。


网站导航: