[警报] QQ制造病毒再度升级，变本加厉危及网民安全

bulovyke

原贴地址：<a target=_blank href=http://bbs.mumayi.net/viewthread.php?tid=494360&pid=6514712&page=1&extra=page%3D1>http://bbs.mumayi.net/viewthread.php?tid=494360&pid=6514712&page=1&extra=page%3D1</a>#pid6514712<br>
<br>
新年伊始，QQ如约在其官方网站推出了QQ2006正式版，朋友们都抢先体验了把新鲜劲，祸不单行啊，陆续的有哥们跟我说最近CPU占用率长期居高不下，IE浏览器打开网页速度超慢，游戏玩到一半经常提示内存不足，乃至当机……难道QQ新年就又开始放毒，前一阵的病毒风波还没摆平，QQ不会拿几千万用户开涮玩吧？好奇心作祟，以下是我在一台干净的Windows XP 平台机器上的测试结果，是非曲直，大家自己看吧。<br>
从QQ官网下载2006版很顺畅的安装上了，除了我们常见的QQ所需正常文件，还会惊奇的发现QQ新版本又偷偷植入了额外的如下文件：<br>
QAHook.dll<br>
Stdtbh.dat<br>
TCtrl.dll<br>
Runner.exe<br>
这几个文件被QQ主程序调用运行后，会同时释放出一个随机文件名的文件，这几个文件应该就是病毒（根据它的特征，请允许我这么称呼）的原体。<br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://www.pcshow.net/bbs/attachments/1_he5FSbOIh8i9.jpg" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://www.pcshow.net/bbs/attachments/2_dSAUos1OzIsi.jpg" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
再进一步深入，发现这些病毒文件会采用多种方式保证自身的正常运行启动，很简单的例子：它会在注册表中增加名为“AddrPlus3”的启动项，路径指向相关文件，用以保证这些文件能够在系统启动时被优先加载。同时后台常驻程序，从而实现了一套只有病毒所使用的强大的自我保护机制，当一发现自身文件、注册表项，被破坏，会立即自动恢复，防止用户轻易手工删除。<br>
<IMG onmouseover="javascript:if(this.width>520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://www.pcshow.net/bbs/attachments/3_SosmiGwotOu3.jpg" onload="javascript:if(this.width>520)this.width=520;" align=absmiddle border=0><br>
这还没有完，好戏还在后头，该病毒程序相对于其他病毒做的更为巧妙，在系统的最底层，家族了一个Debug钩子，这个钩子随着系统的启动而启动，无法通过正常途径停止、删除。此外，该病毒还另外挂了CBT和键盘监视钩子，这两个钩子和前面提到的debug钩子相互配合，互相保护，不断刷新系统注册表及自身文件列表，一旦发现注册表项或文件项被删除，即会自动重新创建。这三个钩子均无法手工停止，即便杀死QQ所有的进程后依然在工作。<br>
到这里，我不得不佩服 QQ的煞费苦心，释放额外文件、产生随机文件、自我保护、自我复制、家族钩子，钩来钩去……，高，实在是高！<br>
<br>
相关信息：2005版QQ制造病毒媒体报道：<br>
（<a target=_blank href=http://soft.yesky.com/security/aqzxx/69/2143569.shtml>http://soft.yesky.com/security/aqzxx/69/2143569.shtml</a>）<br>

佛山三少

在注册表中增加名为“AddrPlus3<br>
<br>
我的机器也有啊<br>
<br>
是不是谣言来的？<br>
<br>
QQ应该不会这样做吧

mmmxcm

ＱＱ这么做可真是令人伤心啊，我用ＱＱ好几年了，不行还是换别的聊天软件吧，现在聊天软件也很多的．

lettel

AddrPlus3 是什么？我不懂， 谁来解释下是不是虫子？