瑞星卡卡安全论坛

原贴地址：http://bbs.mumayi.net/viewthread.php?tid=494360&pid=6514712&page=1&extra=page%3D1#pid6514712

新年伊始，QQ如约在其官方网站推出了QQ2006正式版，朋友们都抢先体验了把新鲜劲，祸不单行啊，陆续的有哥们跟我说最近CPU占用率长期居高不下，IE浏览器打开网页速度超慢，游戏玩到一半经常提示内存不足，乃至当机……难道QQ新年就又开始放毒，前一阵的病毒风波还没摆平，QQ不会拿几千万用户开涮玩吧？好奇心作祟，以下是我在一台干净的Windows XP 平台机器上的测试结果，是非曲直，大家自己看吧。
从QQ官网下载2006版很顺畅的安装上了，除了我们常见的QQ所需正常文件，还会惊奇的发现QQ新版本又偷偷植入了额外的如下文件：
QAHook.dll
Stdtbh.dat
TCtrl.dll
Runner.exe
这几个文件被QQ主程序调用运行后，会同时释放出一个随机文件名的文件，这几个文件应该就是病毒（根据它的特征，请允许我这么称呼）的原体。









再进一步深入，发现这些病毒文件会采用多种方式保证自身的正常运行启动，很简单的例子：它会在注册表中增加名为“AddrPlus3”的启动项，路径指向相关文件，用以保证这些文件能够在系统启动时被优先加载。同时后台常驻程序，从而实现了一套只有病毒所使用的强大的自我保护机制，当一发现自身文件、注册表项，被破坏，会立即自动恢复，防止用户轻易手工删除。




这还没有完，好戏还在后头，该病毒程序相对于其他病毒做的更为巧妙，在系统的最底层，家族了一个Debug钩子，这个钩子随着系统的启动而启动，无法通过正常途径停止、删除。此外，该病毒还另外挂了CBT和键盘监视钩子，这两个钩子和前面提到的debug钩子相互配合，互相保护，不断刷新系统注册表及自身文件列表，一旦发现注册表项或文件项被删除，即会自动重新创建。这三个钩子均无法手工停止，即便杀死QQ所有的进程后依然在工作。
到这里，我不得不佩服 QQ的煞费苦心，释放额外文件、产生随机文件、自我保护、自我复制、家族钩子，钩来钩去……，高，实在是高！

相关信息：2005版QQ制造病毒媒体报道：
（http://soft.yesky.com/security/aqzxx/69/2143569.shtml）

如楼主所说
在自启动项中会增加一些莫名其妙的与QQ相关的自启动项

唉,世风日下呀

官方网站应有相应的解释才好

有办法对付这个东西吗？

那么楼住
有什么办法解决啊
难道不用QQ  QQ官网有什么表态?

偶早就发现了,这个的确比较难办.不装插件也有此问题

的确是变本加厉呀

什么社会什么人噢

QQ官网要给个解释啊，中国亿万网民都是用QQ的啊，做为中国最大的软件商之一，这这这。。。。也太不负责任了吧。。。。
（大胆的猜测）。。。是腾讯自己搞的吧~~~~~（这句话我不负责任的）

现在QQ实在太霸道了，卸载了程序，在硬件的设备管理器的隐藏设备会出现错误提示，在系统日志里也有提示，提示如下：“事件类型:错误
事件来源:Service Control Manager
事件种类:无
事件 ID:7000
日期:2006-2-9
事件:16:12:36
用户:N/A
计算机:
描述:
由于下列错误，npkcrypt 服务启动失败:
系统找不到指定的路径。

有关更多信息，请参阅在 http://go.microsoft.com/fwlink/events.asp 的帮助和支持中心。
”

用卡卡彻底清理

我QQ上,没有发现这些文件..

项下

我的机子上就没有这几个文件,连那个文件夹都没有,原因就在于QQ启动时会调用TIMPlatform.exe这个文件来添加这些病毒文件.用SSM阻止其运行或者干脆将其删除,然后清除启动项和注册信息以及已经添加的病毒文件就可以了.

唉，说起ＱＱ我真有好多话要说了，我丢过两个ＱＱ了，也中过ＱＱ尾巴病毒，当时我正在写一份很重要的文件，已经写到结尾了，可是都没来得及保存电脑就死机了，重启也启不了，只得重做了系统，我这个上火呀，嘴上都起了泡了，唉，后来我再也不敢打开别人发来的网站了，这又造成了许多误会，有好友发来的祝福我没有打开，还一个劲地问是什么东西，是不是病毒，气得那个朋友说我都说了不是，你不信就算了，以后再也不理我了，５５５５，希望ＱＱ不要再这样了啊．．．

腾讯公司的动态保护技术!

超级视频就占系统资源.本身要用到摄像头的程序都CPU高!

不信你可以试试啊.

还有就是把你们的普通视频变成超级视频..占资源是理所当然.

有某些私人网站只是在恶意诋毁腾讯公司.我们没必要跟自己过不去

呀.再说,你装上了QQ..并没有造成你的损失.

朋友们都说一下..装了QQ以后造成什么样的损失啊?

纯属转载别人的，自己不是很懂

引用:

现在英文的普及率很高了吧？您是不是知道“hook”代表“钩子”的意思呢？ 那么好，我们继续讲这件发生在笔者身上，也发生在中国几乎所有网络用户身上的，严重危害国家安全的，令人愤怒的事情。 2005年10月，中国最大的即时通讯软件公司：腾讯公司向公众推出了他们的新版本QQ---QQ2005 Beta III，如同以往一样笔者得知了这个消息，并抢先去腾讯的官方网站下载到了这个版本，开始测试使用。 这个版本的更新是革命性的，更新了QQ的内核，并且推出了一个经过优化了的，叫做“超级视频”的视频工具，能够使用户更流畅的浏览聊天对象的图像，也支持网络会议，让人心情振奋---国产即时聊天软件终于可以和国外的MSN、ICQ有一拼了！ 但是问题随之出现！ 第二天在笔者重新启动电脑之后，系统出现了这样的提示： “加载 C:\PROGRA~1\TENCENT\AddrPlus\QAHook.dll 时出错找不到指定的模块” 笔者是程序设计师，笔者的电脑是经过优化了几万遍的，现在系统竟然出现了这样的提示，让笔者惊讶！ 大家知道，作为即时通讯工具的Tencent QQ虽然在从前的老版本中将自身的快捷方式copy到“启动”文件夹下，强制设置为开机运行，但是这个只要轻轻的删除就没有其他大的问题，并且在后续版本中是否要开机运行是要经过安装用户的设置的。时隔两年，他们怎么又搞这个花样呢！？ 笔者对此不屑一顾，在注册表 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 中删除了C:\progra~1\tencen\addrplus项 可是，问题远远还没有解决！ 当第三天笔者再次开机的时候， “加载 C:\PROGRA~1\TENCENT\AddrPlus\QAHook.dll 时出错找不到指定的模块” 这样的提示依然存在！ 笔者困惑了，难道是病毒？笔者开始在搜索工具中搜索相关信息，没有任何的结果。当时是10月下旬。 难道是笔者的女朋友写的病毒？这个小姑娘最近聪明了，学会监视笔者的QQ信息了？可是胳膊毕竟是拧不过大腿的，笔者微微一笑，在安全模式中找到C:\PROGRA~1\TENCENT文件夹将其删除。并删除注册表中的相应键值。重新启动之后，错误提示消失了。 令人惊讶的事情发生了，比者再次登陆QQ的时候，发现，C:\progra~1\tencen\addrplus文件夹被重新创建了！难道小姑娘阴损到绑定了我的QQ文件？ 一个电话打过去，女朋友对此事一无所知。 奇怪！ 笔者到腾讯官方网站http://dl.qq.com重新下载了QQ2005 Beta III的安装文件，将QQ重装。问题依然没有得到解决。 笔者困惑了，难道是腾讯公司的新流氓软件！？笔者再次到搜索中寻找相关资料，Baidu-没找到，Googel-没找到，Searth.com-没找到，Searth.msn.com-找到了： “腾汛已经公开表示QAHOOK是插件” 笔者安心多了，继续安心的使用QQ2005 Beta III，对系统启动时候的提示充耳不闻，反正笔者的电脑要几天才重起一次，没有什么麻烦的，眼不见心不烦！ 但是奇怪的问题接种而至！ 稳定间断运行半年多的电脑，开始出现各种毛病，每天都要蓝屏好几次，系统提示“缓冲区溢出”！ 在确定了硬件稳定性没有问题之后，笔者开始怀疑计算机中毒了！笔者开始手工查毒：1,察看注册表、启动文件夹中的启动项目；2，察看“服务”中是否有未知项目；3，搜索c盘中的所有11月20日之后修改的文件的属性。经过近半个小时的查毒，笔者没有发现除了 C:\progra~1\tencen\addrplus 这个文件夹之外的任何问题！ 难道腾讯公司搞桌面搜索？难道这个东西是新功能的系统插件？ 因为笔者的计算机中有很多高机密的文件，一旦这些资料被不法获得，后果极其严重！所以笔者一咬牙、一跺脚，删了QQ2005 Beta III，从此这台机器上不再装QQ。系统蓝屏的问题随之解决！ 笔者的警惕性提升至最高。 将C:\progra~1\tencen\addrplus文件夹下的所有文件，以及 相关的Tencent文件交给笔者在kaspersky Lab的好友Andrei Tikhono**先生进行分析。结论很快便出来了，第二天笔者收到Andrei Tikhono**先生的邮件，结果显示，该文件夹下的QAHOOK.dll为木马文件，在系统启动之后自动加载，切入到所有系统服务的进程中，如果不在安全模式下，是无法删除的，即使删除之后，当用户使用QQ的时候，会由TIMPlatform.exe文件重新生成！该木马可以由发送方（腾讯公司或者是幕后黑手）察看用户本地的所有文件，权限为SYSTEM（WINDOWS操作系统中的最高权限“系统”权限）！ 笔者认识到了这件事情的严重性，着手开始调查，向在国外的其他程序师求助分析。 同时，笔者开始对其运行特征进行分析，概况如下： 如果用户将腾讯QQ装入自定义文件夹下，系统在启动的时候检测不到QQ程序TIMPlatform.exe，会出现上文的错误提示；如果用户将腾讯QQ装入C:\progra~1\tencen\qq（安装默认）文件夹下，那么在系统启动时，不会出现错误提示。所以很明显是因为木马程序的兼容性不够全面造成的。并且如果用户将TIMPlatform.exe安装到默认位置的话就也不会出现错误提示。 从QQ2003开始，笔者就很奇怪TIMPlatform.exe这到底是一个什么文件，按照字面分析的话，应该叫“腾讯信息制度图”，如果用户启动TENCENT QQ，TIMPlatform.EXE会随之启动，但是如果将其关闭，并不影响其他程序的正常使用，后来发现TIMPlatform有控制“高峰时期同一机器上开启QQ个数”的功能，所以笔者就不再在意。现在看来，这已经成为了腾讯公司幕后的一双黑手，随时监控用户的本地资料！ 但是，谁又是腾讯幕后黑手的幕后黑手呢？ 2005年11月6日，笔者收到日本Software Research Associates (SRA)软件公司的好友柴岗*系统构架师的回信，并指出，日本防卫厅情报总部曾经在该公司测试过类似的木马，特征极其相似！ 笔者震惊了！ 中国的QQ注册用户已经达到了4.8亿，其中活跃用户1.4亿，假设升级至QQ2005 Beta III版本的QQ用户只占其中的10%的话，那么就意味着，在中国的计算机用户中，已经有14，000，000人感染了这种木马！现今，腾讯QQ2005正式版已经推出一段时间了，其中的玄机更是令人赞叹，用笔者业内的一个程序员朋友的话来讲：“QQ2005正式版只是升级了QQ2005 Beta III中的木马文件，使用户不再那么轻易的能够察觉到！” 如果你是一个使用QQ的神州六号工作人员，那么你的所有资料都已经在腾讯公司背后那双黑手中了…… 但是随后，理智战胜了冲动，笔者着手调查中国（深圳）腾讯公司的背景、股份资料和木马事件的相关证据，随时准备联合一些QQ用户向国家相关机构投诉。相信不久的将来，会有一个明确的结果的！

不是很相信
话是人说得
毕竟那么多人用QQ
腾讯没那么傻
砸自己牌子
要是你们
你们会这么傻嘛
砸自己牌子
不用不就好了
说那么多有什么用

可是偶得qq没出现lz所说的那种情况，偶用的是珊瑚虫版的。

珊瑚虫肯定是没有了，呵呵，楼上的可以去下个正式版回来装下看看。

还是用老版本的好些

我最受不了的是一天我在QQ上有一个好久没见的朋友给我发消息，我还好高兴来着哟，她那边发一个文件叫我的照片，我还以为是她给我看照片，就接了过来，气死人啊，一保存好才提示是病毒，吓得我哟，破QQ太过分了。

我也下了2006,感觉确实不对头,原来如此啊.我日死腾迅啊!!!!!!!!
现在怎么弄掉它啊?

是啊,新版好象更糟糕,速度超级慢啊.楼上的不会弄掉它?晕,卸了就行了啊.

顶！好文章就得顶。

QAHook.dll ，是有问题

是不是不安装那个插件就没事了？

“笔者对此不屑一顾，在注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
中删除了C:\progra~1\tencen\addrplus项

可是，问题远远还没有解决！

当第三天笔者再次开机的时候，
“加载 C:\PROGRA~1\TENCENT\AddrPlus\QAHook.dll 时出错找不到指定的模块”
这样的提示依然存在！

笔者困惑了，难道是病毒？笔者开始在搜索工具中搜索相关信息，没有任何的结果。当时是10月下旬。

难道是笔者的女朋友写的病毒？这个小姑娘最近聪明了，学会监视笔者的QQ信息了？可是胳膊毕竟是拧不过大腿的，笔者微微一笑，在安全模式中找到C:\PROGRA~1\TENCENT文件夹将其删除。并删除注册表中的相应键值。重新启动之后，错误提示消失了。


令人惊讶的事情发生了，比者再次登陆QQ的时候，发现，C:\progra~1\tencen\addrplus文件夹被重新创建了！”
顶

好象每装一次多出来的那个文件名称都不一样啊？