驚天內幕！騰訊QQ最新版中藏有病毒程序？[圖]

　　QQ最近在其官方網站WWW.QQ.COM上推出了QQ2005 beta3版，吸引了很多用戶試用。這本來是件好事情，卻爆出了這個版本的QQ可能含有病毒的消息。

　　為了證實這個消息的真實性，我趕緊到www.qq.com上下載了一個QQ2005 beta3，進行了詳細而認真的測試。
以下是測試結果：

　　1、這個版本的QQ安裝時，生成4個額外的病毒文件：這個版本的QQ安裝完畢後，除了生成QQ正常使用的文件外，的確會在系統文件夾c:\windows\downlo~1下生成多餘的4個文件，其中2個為dll動態庫文件，1個為exe可執行文件，一個為dat數據文件。這4個文件互相配合，形成了一套功能完備的病毒程序（病毒行為詳見後面的分析）。

　　2、病毒文件會在系統注冊表中增加一個獨立於QQ啟動項之外的啟動項：這4個文件被創建後，會在系統注冊表中增加一個名為『_TBHTray』的啟動項，路徑指向剛纔所發現的2個dll文件中的一個，以保證這些文件能在系統啟動時被自動加載。因此，他們的自我啟動，在此時與QQ是否存在無關了。

　　3、病毒文件采用多種方法實現自我隱藏：不知出於何種目的，這4個文件在自我隱藏方面可謂煞費苦心，集多個典型病毒的隱藏方法於一身，分別是：
(1)文件名隨機生成，即便在同一臺電腦上，每次安裝QQ2005 BETA3，這4個文件的文件名都不相同，使得你很難找到 調用系統函數，將自身的文件屬性設置為系統級，使得在windows窗口模式下根本無法看到這些病毒文件，必須使用dos命令行模式纔可看到。
(2)無論你何時安裝，它會自動將dll文件的生成時間設置為2005-9-8 16:38，這是QQ 2005beta3證實發布之前的日期，使你很容易忽略和QQ 2005 BETA3的聯系。

　　4、該病毒使用鉤子技術實現了自我保護機制，使用戶根本無法手工刪除該病毒。
　　在系統的最底層，掛了一個Debug鉤子，這個鉤子隨著系統的啟動而啟動，即使在安全模式下也會運行，保證從最底層獲得系統的控制權。
　　此外，該病毒還另外掛了CBT鉤子和鍵盤監視鉤子，這兩個鉤子和前面提到的debug鉤子相互配合，互相保護，不斷刷新系統注冊表及自身文件列表，一旦發現注冊表項或文件項被刪除，即會自動重新創建。這三個鉤子均無法手工停止，即便殺死QQ所有的進程後依然在工作。

　　5、該病毒具備自我昇級機制，會繞開防火牆隨時從互聯網上昇級到更新的版本。
　　該病毒的exe文件負責客戶端與互聯網服務器的通信與昇級，此exe文件在用戶每次打開IE時都會向互聯網服務器發回信息，並根據服務器的指令決定是否昇級。由於該程序利用了IE訪問網絡的80端口，因此會繞開絕大多數的網絡防火牆，使得昇級在不知不覺在進行！

　　6、該病毒記錄了用戶上網所一舉一動，並很有可能將這些內容打包發給了它的服務器。
　　由於該病毒在系統中掛了一個鍵盤鉤子和CBT鉤子，它截獲並記錄用戶使用電腦的一舉一動，包括訪問的網址，地址欄輸入的內容，搜索詞，用戶名及密碼等。同時我還發現，在我打開IE 時，這個病毒均會向服務器會傳一大堆的數據，由於這些數據已經加密，我無法獲知究竟是什麼內容，但根據數據排列和信息量來看，極有可能是用戶上網的訪問記錄等極其敏感的隱私信息！

　　7、該病毒在QQ卸載後依然會存在在用戶的機器中，無法徹底清除。
　　如果將QQ 2005 BETA3卸載掉，這個時候，病毒文件依然會保留在機器裡，並不被卸載掉。如果重新安裝一遍，由於病毒的文件名是隨機生成的，則又會在系統中增加一整套病毒文件。往復幾次，則硬盤中的病毒文件數量將觸目驚心！這些病毒文件互相嵌套，關系錯綜復雜，使得用戶根本無法分清彼此間的關系，根本無法將該病毒徹底清除乾淨！（如圖）

　　綜上所述，此程序已經具備了病毒所有的特性：自我隱藏、自我變形、自我保護、快速傳播、截獲用戶輸入、悄悄昇級等，因此，我可以得出頗為肯定的結論：

　　在QQ官方網站www.qq.com推出的qq 2005 beta3內嵌了一個地地道道的病毒程序！

　　由於分析工作沒有全部完成，加之該病毒正處在潛伏期，目前還不是很清楚該病毒程序所做的一切行為，但目前已經能對該病毒的危害得出一定的結論了。該病毒會產生的危害有：

　　1、降低系統穩定性，導致部分用戶電腦崩潰
　　由於該病毒中濫用文件變名、Debug鉤子、自我保護等技術，使得系統穩定性大受影響。測試期間，測試機多次停止響應。如果使用工具強制刪除掉該病毒其中的某個dll文件，由於該病毒自我保護機制的不成熟，甚至會使得啟動無法啟動。
　　由於QQ是全國裝機量最大的軟件，覆蓋在上千萬臺電腦上，只要以上問題出現概率大於1%（事實上我測試時接近10%），必將導致數十萬的用戶無法繼續使用電腦，危害相當嚴重！！

　　2、急劇降低系統性能
　　由於該病毒在不斷的刷新注冊表、文件列表，同時利用鉤子截獲用戶的所有輸入，因此使得系統性能極具下降，這種下降在打開IE時表現得尤為明顯。在未安裝此病毒的測試機上，連續打開10個IE後，再打開IE窗口的速度與沒有明顯減慢；在已安裝此病毒的測試機上，打開第一個IE窗口時就明顯感覺到頓挫感，在打開第10個窗口時，常需數秒以上，最長時甚至長達1分鍾，無法忍受！！
　　在訪問新浪、搜狐等大型網站時，也能明顯感覺到打開網頁的速度明顯降低，常常點擊鏈接後機器失去響應數秒。

　　3、竊取用戶隱私
　　該病毒截獲了用戶所有的輸入，因此安裝了該病毒的機器即無隱私可言，上網的網址、輸入的用戶名、密碼、搜索用過的搜索詞均會被該病毒截獲。最嚴重的，如果用戶在機器上使用過銀行的網上支付系統，則存在極大的風險丟失卡號及密碼，被偷盜錢財。

　　4、有可能在互聯網上引發又一次輪蠕蟲衝擊波，導致互聯網癱瘓
　　由於附著在QQ上，所以該程序會以每天近百萬的速度散播在互聯網上，不需要太久，它將在數千萬臺電腦上潛伏。如果該病毒象其它病毒一樣，集中在一天內爆發，那將是比衝擊波更大的災難，整個互聯網，用戶的機器，都將癱瘓，後果不堪設想！！

　　對於這樣嚴重的病毒事件，強烈要求騰訊公司給出明確說法並對廣大用戶公開道歉！此外，我已經把這病毒程序提交給了諾頓、卡巴司機等多個病毒廠商，希望他們盡快能將其加入最新病毒庫，保障網民的安全！同時我也奉勸廣大互聯網用戶，在該問題解決之前，不要下載安裝QQ 2005 BETA3

==========================
病毒樣本程序下載地址：http://im.qq.com/qq/dlqq.shtml
測試機配置：P4 2.0G 512M內存 120G硬盤
==========================