触目精心,揭开QQ的发家老底---转帖# Security - 系统安全
a*r
1 楼
[电脑安全] QQ最近在其官方网站WW W.Q Q.COM 上推出了QQ2005 beta3版,吸引了很多用
户试用。这本来是件好事情,却爆出了这个版本的QQ可能含有病毒的消息。
为了证实这个消息的真实性,我赶紧到ww w.q q.com上下载了一个QQ2005 beta3,进行了
详细而认真的测试。以下是测试结果:
1、这个版本的QQ安装时,生成4个额外的病毒文件:这个版本的QQ安装完毕后,除了生成
QQ正常使用的文件外,的确会在系统文件夹c:\windows\downlo~1下生成多余的4个文件,
其中2个为dll动态库文件,1个为exe可执行文件,一个为dat数据文件。这4个文件互相配
合,形成了一套功能完备的病毒程序(病毒行为详见后面的分析)
2、病毒文件会在系统注册表中增加一个独立于QQ启动项之外的启动项:这4个文件被创建
后,会在系统注册表中增加一个名为“_TBHTray”的启动项,路径指向刚才所发现的2个
dll文件中的一个,以保证这些文件能在系统启动时被自动加载。因此,他们的自我启动
,在此时与QQ是否存在无关了
3、病毒文件采用多种方法实现自我隐藏:不知出于何种目的,
户试用。这本来是件好事情,却爆出了这个版本的QQ可能含有病毒的消息。
为了证实这个消息的真实性,我赶紧到ww w.q q.com上下载了一个QQ2005 beta3,进行了
详细而认真的测试。以下是测试结果:
1、这个版本的QQ安装时,生成4个额外的病毒文件:这个版本的QQ安装完毕后,除了生成
QQ正常使用的文件外,的确会在系统文件夹c:\windows\downlo~1下生成多余的4个文件,
其中2个为dll动态库文件,1个为exe可执行文件,一个为dat数据文件。这4个文件互相配
合,形成了一套功能完备的病毒程序(病毒行为详见后面的分析)
2、病毒文件会在系统注册表中增加一个独立于QQ启动项之外的启动项:这4个文件被创建
后,会在系统注册表中增加一个名为“_TBHTray”的启动项,路径指向刚才所发现的2个
dll文件中的一个,以保证这些文件能在系统启动时被自动加载。因此,他们的自我启动
,在此时与QQ是否存在无关了
3、病毒文件采用多种方法实现自我隐藏:不知出于何种目的,