[转载自搜狐网]
来源:毒霸论坛
作者:风云太计
QQ最近在它的官方网站www.qq.com正式推出了2005beta3版,据说好处多多,今天我也去赶潮流下载了一个。
安装过程和以前的版本没什么改变大的变化,无非是不断点击下一步,就开始了安装过程。
安装开始进行的蛮顺利的,可就在QQ马上要安装完时,突然出现了个意想不到的情况:杀毒软件KV 2005跳出了个警告框,说程序wyjcw.dll试图写入系统启动项!
真是奇怪,这是个什么鬼程序呀,看样子和qq没什么关系呀,怎么进入我的系统的呢?
先不想那么多了,赶紧打开注册表,找到这个程序对应的启动项—那个叫_TBHTray的项,按下del键工先删了它!没想到的是,删完再一刷新,我靠,居然这个键值又被恢复了!!您遇到了同样的问题吗?
顺着注册表键值找到程序文件,用命令行方式删除文件wyjcw.dll,居然提示删除失败!!
这下我可真紧张了,这家伙还自我保护呢,不是真的中了病毒了吧?我没有上过什么乱七八糟的网站呀!难道是刚才下载QQ的时候不小心被感染了?应该不会呀,这可是从QQ官方网站直接下载的呀。
赶紧用KV2005扫描一遍硬盘,提示没有找到病毒。究竟这不是一个病毒,还是这个病毒太新了,杀毒软件还没有加入病毒库?
一时间我没了主意,不知如何是好。想来想去,觉得这个程序可能还是和QQ有关,毕竟是在安装QQ 2005beta3时出现的,为什么不卸载掉QQ试试?
火速打开添加删除程序,发现QQ2005 beta3版居然写了两个卸载项。不管那么多,全卸了再说
卸载完毕,重启电脑,再查看注册表的启动项。我的天,我简直不敢相信我的眼睛,那个名字为_TBHTray,文件为wyjcw.dll的启动项居然消失了!这就是说,QQ 2005 BETA3版中自己带了这个病毒的程序!!
为了最终确保不是其它因素引起的,我又找了台机器,重新到www.qq.com下载了一个QQ2005 BETA3安装。安装完毕后,再查看了一下注册表的启动项,果然看到了那个_TBHTray的启动项,但是文件名居然变成了“Yqvsayc.dll”。
文件名还会变化,这也太恐怖了吧?我赶紧又重新装了几遍qq2005 beta3,仔细查看,发现每次文件名字真的不一样!
恐怖!我的脑子里只有这两个字了。全国发行量最大的QQ程序官方版中居然带了一个会自动改名、自我保护的病毒程序!!这对中国几千万的互联网用户来说,意味着什么?
还有!卡卡
QQ最近在其官方网站WWW.QQ.COM 上推出了QQ2005 beta3版,吸引了很多用户试用。这本来是件好事情,却爆出了这个版本的QQ可能含有病毒的消息。
为了证实这个消息的真实性,我赶紧到www.qq.com上下载了一个QQ2005 beta3,进行了详细而认真的测试。以下是测试结果:
1、这个版本的QQ安装时,生成4个额外的病毒文件:这个版本的QQ安装完毕后,除了生成QQ正常使用的文件外,的确会在系统文件夹c:\windows\downlo~1下生成多余的4个文件,其中2个为dll动态库文件,1个为exe可执行文件,一个为dat数据文件。这4个文件互相配合,形成了一套功能完备的病毒程序(病毒行为详见后面的分析)
2、病毒文件会在系统注册表中增加一个独立于QQ启动项之外的启动项:这4个文件被创建后,会在系统注册表中增加一个名为“_TBHTray”的启动项,路径指向刚才所发现的2个dll文件中的一个,以保证这些文件能在系统启动时被自动加载。因此,他们的自我启动,在此时与QQ是否存在无关了
3、病毒文件采用多种方法实现自我隐藏:不知出于何种目的,这4个文件在自我隐藏方面可谓煞费苦心,集多个典型病毒的隐藏方法于一身,分别是:
? 文件名随机生成,即便在同一台电脑上,每次安装QQ2005 BETA3,这4个文件的文件名都不相同,使得你很难找到
? 调用系统函数,将自身的文件属性设置为系统级,使得在windows窗口模式下根本无法看到这些病毒文件,必须使用dos命令行模式才可看到
? 无论你何时安装,它会自动将dll文件的生成时间设置为2005-9-8 16:38,这是QQ 2005beta3证实发布之前的日期,使你很容易忽略和QQ 2005 BETA3的联系
4、该病毒使用钩子技术实现了自我保护机制,使用户根本无法手工删除
该病毒在系统的最底层,挂了一个Debug钩子,这个钩子随着系统的启动而启动,即使在安全模式下也会运行,保证从最底层获得系统的控制权
此外,该病毒还另外挂了CBT钩子和键盘监视钩子,这两个钩子和前面提到的debug钩子相互配合,互相保护,不断刷新系统注册表及自身文件列表,一旦发现注册表项或文件项被删除,即会自动重新创建
这三个钩子均无法手工停止,即便杀死QQ所有的进程后依然在工作。
5、该病毒具备自我升级机制,会绕开防火墙随时从互联网上升级到更新的版本
该病毒的exe文件负责客户端与互联网服务器的通信与升级,此exe文件在用户每次打开IE时都会向互联网服务器发回信息,并根据服务器的指令决定是否升级。由于该程序利用了IE访问网络的80端口,因此会绕开绝大多数的网络防火墙,使得升级在不知不觉在进行!
6、该病毒记录了用户上网所一举一动,并很有可能将这些内容打包发给了它的服务器
由于该病毒在系统中挂了一个键盘钩子和CBT钩子,它截获并记录用户使用电脑的一举一动,包括访问的网址,地址栏输入的内容,搜索词,用户名及密码等。同时我还发现,在我打开IE 时,这个病毒均会向服务器会传一大堆的数据,由于这些数据已经加密,我无法获知究竟是什么内容,但根据数据排列和信息量来看,极有可能是用户上网的访问记录等极其敏感的隐私信息!
7、该病毒在QQ卸载后依然会存在在用户的机器中,无法彻底清除
如果将QQ 2005 BETA3卸载掉,这个时候,病毒文件依然会保留在机器里,并不被卸载掉。如果重新安装一遍,由于病毒的文件名是随机生成的,则又会在系统中增加一整套病毒文件。往复几次,则硬盘中的病毒文件数量将触目惊心!这些病毒文件互相嵌套,关系错综复杂,使得用户根本无法分清彼此间的关系,根本无法将该病毒彻底清除干净!(如图)