[警报] QQ制造病毒再度升级,变本加厉危及网民安全
原贴地址:http://bbs.mumayi.net/viewthread.php?tid=494360&pid=6514712&page=1&extra=page%3D1#pid6514712
新年伊始,QQ如约在其官方网站推出了QQ2006正式版,朋友们都抢先体验了把新鲜劲,祸不单行啊,陆续的有哥们跟我说最近CPU占用率长期居高不下,IE浏览器打开网页速度超慢,游戏玩到一半经常提示内存不足,乃至当机……难道QQ新年就又开始放毒,前一阵的病毒风波还没摆平,QQ不会拿几千万用户开涮玩吧?好奇心作祟,以下是我在一台干净的Windows XP 平台机器上的测试结果,是非曲直,大家自己看吧。
从QQ官网下载2006版很顺畅的安装上了,除了我们常见的QQ所需正常文件,还会惊奇的发现QQ新版本又偷偷植入了额外的如下文件:
QAHook.dll
Stdtbh.dat
TCtrl.dll
Runner.exe
这几个文件被QQ主程序调用运行后,会同时释放出一个随机文件名的文件,这几个文件应该就是病毒(根据它的特征,请允许我这么称呼)的原体。
再进一步深入,发现这些病毒文件会采用多种方式保证自身的正常运行启动,很简单的例子:它会在注册表中增加名为“AddrPlus3”的启动项,路径指向相关文件,用以保证这些文件能够在系统启动时被优先加载。同时后台常驻程序,从而实现了一套只有病毒所使用的强大的自我保护机制,当一发现自身文件、注册表项,被破坏,会立即自动恢复,防止用户轻易手工删除。
这还没有完,好戏还在后头,该病毒程序相对于其他病毒做的更为巧妙,在系统的最底层,家族了一个Debug钩子,这个钩子随着系统的启动而启动,无法通过正常途径停止、删除。此外,该病毒还另外挂了CBT和键盘监视钩子,这两个钩子和前面提到的debug钩子相互配合,互相保护,不断刷新系统注册表及自身文件列表,一旦发现注册表项或文件项被删除,即会自动重新创建。这三个钩子均无法手工停止,即便杀死QQ所有的进程后依然在工作。
到这里,我不得不佩服 QQ的煞费苦心,释放额外文件、产生随机文件、自我保护、自我复制、家族钩子,钩来钩去……,高,实在是高!
相关信息:2005版QQ制造病毒媒体报道:
(http://soft.yesky.com/security/aqzxx/69/2143569.shtml)
