邮件服务器-邮件系统-邮件技术论坛(BBS)
标题:
[警报] QQ制造病毒再度升级,变本加厉危及网民安全
[打印本页]
作者:
bulovyke
时间:
2006-2-14 02:31
标题:
[警报] QQ制造病毒再度升级,变本加厉危及网民安全
原贴地址:<a target=_blank href=http://bbs.mumayi.net/viewthread.php?tid=494360&pid=6514712&page=1&extra=page%3D1>http://bbs.mumayi.net/viewthread.php?tid=494360&pid=6514712&page=1&extra=page%3D1</a>#pid6514712<br>
<br>
新年伊始,QQ如约在其官方网站推出了QQ2006正式版,朋友们都抢先体验了把新鲜劲,祸不单行啊,陆续的有哥们跟我说最近CPU占用率长期居高不下,IE浏览器打开网页速度超慢,游戏玩到一半经常提示内存不足,乃至当机……难道QQ新年就又开始放毒,前一阵的病毒风波还没摆平,QQ不会拿几千万用户开涮玩吧?好奇心作祟,以下是我在一台干净的Windows XP 平台机器上的测试结果,是非曲直,大家自己看吧。<br>
从QQ官网下载2006版很顺畅的安装上了,除了我们常见的QQ所需正常文件,还会惊奇的发现QQ新版本又偷偷植入了额外的如下文件:<br>
QAHook.dll<br>
Stdtbh.dat<br>
TCtrl.dll<br>
Runner.exe<br>
这几个文件被QQ主程序调用运行后,会同时释放出一个随机文件名的文件,这几个文件应该就是病毒(根据它的特征,请允许我这么称呼)的原体。<br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://www.pcshow.net/bbs/attachments/1_he5FSbOIh8i9.jpg" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://www.pcshow.net/bbs/attachments/2_dSAUos1OzIsi.jpg" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
再进一步深入,发现这些病毒文件会采用多种方式保证自身的正常运行启动,很简单的例子:它会在注册表中增加名为“AddrPlus3”的启动项,路径指向相关文件,用以保证这些文件能够在系统启动时被优先加载。同时后台常驻程序,从而实现了一套只有病毒所使用的强大的自我保护机制,当一发现自身文件、注册表项,被破坏,会立即自动恢复,防止用户轻易手工删除。<br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://www.pcshow.net/bbs/attachments/3_SosmiGwotOu3.jpg" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
这还没有完,好戏还在后头,该病毒程序相对于其他病毒做的更为巧妙,在系统的最底层,家族了一个Debug钩子,这个钩子随着系统的启动而启动,无法通过正常途径停止、删除。此外,该病毒还另外挂了CBT和键盘监视钩子,这两个钩子和前面提到的debug钩子相互配合,互相保护,不断刷新系统注册表及自身文件列表,一旦发现注册表项或文件项被删除,即会自动重新创建。这三个钩子均无法手工停止,即便杀死QQ所有的进程后依然在工作。<br>
到这里,我不得不佩服 QQ的煞费苦心,释放额外文件、产生随机文件、自我保护、自我复制、家族钩子,钩来钩去……,高,实在是高!<br>
<br>
相关信息:2005版QQ制造病毒媒体报道:<br>
(<a target=_blank href=http://soft.yesky.com/security/aqzxx/69/2143569.shtml>http://soft.yesky.com/security/aqzxx/69/2143569.shtml</a>)<br>
作者:
佛山三少
时间:
2006-2-14 14:23
标题:
re:在注册表中增加名为“AddrPlus3...
在注册表中增加名为“AddrPlus3<br>
<br>
我的机器也有啊<br>
<br>
是不是谣言来的?<br>
<br>
QQ应该不会这样做吧
作者:
mmmxcm
时间:
2006-2-17 10:58
标题:
re:QQ这么做可真是令人伤心啊,我用QQ好几...
QQ这么做可真是令人伤心啊,我用QQ好几年了,不行还是换别的聊天软件吧,现在聊天软件也很多的.
作者:
lettel
时间:
2006-2-22 01:42
标题:
re:AddrPlus3 是什么?我不懂,...
AddrPlus3 是什么?我不懂, 谁来解释下是不是虫子?
欢迎光临 邮件服务器-邮件系统-邮件技术论坛(BBS) (http://5dmail.net/bbs/)
Powered by Discuz! X3.2