明慧網上同修交流中多次警告不要使用QQ軟件。今日見一文章《觸目驚心!揭開QQ的發家老底》。此文詳細的說明了此軟件是一個病毒軟件及其它情況,由於我也不懂這方面的技術,請懂此技術的同修給大家一些如何處理這個病毒軟件的方法和建議。
有一位同修的電腦上裝有QQ2005BETA3,被我卸載後第二天開機後發現這個QQ2005BETA3還未刪掉。看過此文後方知手工無法卸載。此病毒是否會利用可移動存儲設備將病毒傳給其它電腦目前還不知道,但由於我和這位同修的電腦用U盤傳遞資料,我的電腦也出現異常,不知是否與QQ2005BETA3有無關係。
附 觸目驚心!揭開QQ的發家老底
QQ最近在其官方網站WW.W.QQ.COM 上推出了QQ2005 beta3版,吸引了很多用戶試用。這本來是件好事情,卻爆出了這個版本的QQ可能含有病毒的消息。
為了證實這個消息的真實性,我趕緊到ww.w.qq.com上下載了一個QQ2005 beta3,進行了詳細而認真的測試。以下是測試結果:
1、這個版本的QQ安裝時,生成4個額外的病毒文件
這個版本的QQ安裝完畢後,除了生成QQ正常使用的文件外,的確會在系統文件夾c:\windows\downlo~1下生成多餘的4個文件,其中2個為dll動態庫文件,1個為exe可執行文件,一個為dat數據文件。這4個文件互相配合,形成了一套功能完備的病毒程序(病毒行為詳見後面的分析)。
2、病毒文件會在系統註冊表中增加一個獨立於QQ啟動項之外的啟動項。
這4個文件被創建後,會在系統註冊表中增加一個名為「_TBHTray」的啟動項,路徑指向剛才所發現的2個dll文件中的一個,以保證這些文件能在系統啟動時被自動加載。因此,他們的自我啟動,在此時與QQ是否存在無關了。
3、病毒文件採用多種方法實現自我隱藏。
不知出於何種目的,這4個文件在自我隱藏方面可謂煞費苦心,集多個典型病毒的隱藏方法於一身,分別是:
(1)文件名隨機生成,即便在同一台電腦上,每次安裝QQ2005 BETA3,這4個文件的文件名都不相同,使得你很難找到。
(2)調用系統函數,將自身的文件屬性設置為系統級,使得在windows窗口模式下根本無法看到這些病毒文件,必須使用dos命令行模式才可看到。
(3)無論你何時安裝,它會自動將dll文件的生成時間設置為2005-9-8 16:38,這是QQ 2005beta3證實發布之前的日期,使你很容易忽略和QQ 2005 BETA3的聯繫。
4、該病毒使用鉤子技術實現了自我保護機制,使用戶根本無法手工刪除
該病毒在系統的最底層,掛了一個Debug鉤子,這個鉤子隨著系統的啟動而啟動,即使在安全模式下也會運行,保證從最底層獲得系統的控制權。此外,該病毒還另外掛了CBT鉤子和鍵盤監視鉤子,這兩個鉤子和前面提到的debug鉤子相互配合,互相保護,不斷刷新系統註冊表及自身文件列表,一旦發現註冊表項或文件項被刪除,即會自動重新創建,這三個鉤子均無法手工停止,即便殺死QQ所有的進程後依然在工作。
5、該病毒具備自我升級機制,會繞開防火牆隨時從互聯網上升級到更新的版本
該病毒的exe文件負責客戶端與互聯網服務器的通信與升級,此exe文件在用戶每次打開IE時都會向互聯網服務器發回信息,並根據服務器的指令決定是否升級。由於該程序利用了IE訪問網絡的80端口,因此會繞開絕大多數的網絡防火牆,使得升級在不知不覺在進行!
6、該病毒記錄了用戶上網所有的一舉一動,並很有可能將這些內容打包發給了它的服務器
由於該病毒在系統中掛了一個鍵盤鉤子和CBT鉤子,它截獲並記錄用戶使用電腦的一舉一動,包括訪問的網址,地址欄輸入的內容,搜索詞,用戶名及密碼等。同時我還發現,在我打開IE 時,這個病毒均會向服務器會傳一大堆的數據,由於這些數據已經加密,我無法獲知究竟是甚麼內容,但根據數據排列和信息量來看,極有可能是用戶上網的訪問記錄等極其敏感的隱私信息!
7、該病毒在QQ卸載後依然會存在在用戶的機器中,無法徹底清除
如果將QQ 2005 BETA3卸載掉,這個時候,病毒文件依然會保留在機器裏,並不被卸載掉。如果重新安裝一遍,由於病毒的文件名是隨機生成的,則又會在系統中增加一整套病毒文件。往復幾次,則硬盤中的病毒文件數量將觸目驚心!這些病毒文件互相嵌套,關係錯綜複雜,使得用戶根本無法分清彼此間的關係,根本無法將該病毒徹底清除乾淨!
綜上所述,此程序已經具備了病毒所有的特性:自我隱藏、自我變形、自我保護、快速傳播、截獲用戶輸入、悄悄升級等,因此,我可以得出頗為肯定的結論:在QQ官方網站w.ww.qq.com推出的qq 2005 beta3內嵌了一個地地道道的病毒程序!
由於分析工作沒有全部完成,加之該病毒正處在潛伏期,目前還不是很清楚該病毒程序所做的一切行為,但目前已經能對該病毒的危害得出一定的結論了。該病毒會產生的危害有:
1、降低系統穩定性,導致部份用戶電腦崩潰
由於該病毒中濫用文件變名、Debug鉤子、自我保護等技術,使得系統穩定性大受影響。測試期間,測試機多次停止響應。如果使用工具強制刪除掉該病毒其中的某個dll文件,由於該病毒自我保護機制的不成熟,甚至會使得啟動無法啟動。由於QQ是全國裝機量最大的軟件,覆蓋在上千萬台電腦上,只要以上問題出現概率大於1%(事實上我測試時接近10%),必將導致數十萬的用戶無法繼續使用電腦,危害相當嚴重!!
2、急劇降低系統性能
由於該病毒在不斷的刷新註冊表、文件列表,同時利用鉤子截獲用戶的所有輸入,因此使得系統性能急劇下降,這種下降在打開IE時表現得尤為明顯。在未安裝此病毒的測試機上,連續打開10個IE後,再打開IE窗口的速度與沒有明顯減慢;在已安裝此病毒的測試機上,打開第一個IE窗口時就明顯感覺到頓挫感,在打開第10個窗口時,常需數秒以上,最長時甚至長達1分鐘,無法忍受!!
在訪問新浪、搜狐等大型網站時,也能明顯感覺到打開網頁的速度明顯降低,常常點擊鏈接後機器失去響應數秒。
3、竊取用戶隱私
該病毒截獲了用戶所有的輸入,因此安裝了該病毒的機器即無隱私可言,上網的網址、輸入的用戶名、密碼、搜索用過的搜索詞均會被該病毒截獲。最嚴重的,如果用戶在機器上使用過銀行的網上支付系統,則存在極大的風險丟失卡號及密碼,被偷盜錢財。
4、有可能在互聯網上引發又一次輪蠕蟲衝擊波,導致互聯網癱瘓
由於附著在QQ上,所以該程序會以每天近百萬的速度散播在互聯網上,不需要太久,它將在數千萬台電腦上潛伏。如果該病毒像其它病毒一樣,集中在一天內爆發,那將是比衝擊波更大的災難,整個互聯網,用戶的機器,都將癱瘓,後果不堪設想!!
對於這樣嚴重的病毒事件,強烈要求騰訊公司給出明確說法並對廣大用戶公開道歉!此外,我已經把這病毒程序提交給了諾頓、卡巴司機等多個病毒廠商,希望他們儘快能將其加入最新病毒庫,保障網民的安全!同時我也奉勸廣大互聯網用戶,在該問題解決之前,不要下載安裝QQ。
問:電腦在前兩天打印東西時,突然出現黑屏,就像進入DOS似的,然後上面有字寫著:「bios rom checksum error, detecting floppy drive a media ,insert system disk and press enter 」之後不管按甚麼鍵都是這些話,把XP啟動盤放進去,把GHOST盤放進去也都沒反應,而且也關不了機,重起也這樣。我還沒有軟盤啟動盤,後來就沒辦法,把電源斷了,機器就放那裏了。
經過發正念排除干擾,晚上再用的時候,就跟沒發生過這事似的,電腦就進入XP系統了,現在也一直好使,但是,現在還是想請問同修一下,那些英文甚麼意思,甚麼原因造成出現這種情況。當然,我知道這是黑手在干擾,所以發正念解決了,現在只是想再問一下有沒有技術方面的隱患,例如我操作不當。謝謝。
答:這個是BIOS的錯誤,一般可能是主板的電池或者接觸不良導致。這些問題一般是硬件有問題,其它的倒沒有甚麼安全上的問題。注意保留硬盤資料的備份,因為硬盤如果損壞,那麼數據就可能丟失了。
我通過看ZA防火牆閃畫安裝程序,安裝使用了za 60.667.000版防火牆,但是不知道如何獲取註冊碼,請知道的同修告知。
答:那個閃畫裏是不是就有註冊碼?注意看那一段畫面。
另外,ZA防火牆的免費版本就可以了,不需要付費版。在安裝時有一步選擇免費還是付費版。
我想借明慧一角再次向做大法資料的同修提醒,因為資料點在講真象中起的作用重大,以往的教訓,一定要引以為戒,就是沒有加密又沒有完善的清除痕跡的裝有敏感文件的移動硬盤不能和電腦放在一處。這也是體現了做資料的同修是不是對法負責,對同修負責的問題。
宇明網的ZoneAlarm一直下載不下來,我發現大約有兩三年了,到今天我換成網通的寬帶再下載還是不行。
答:其實免費的zonealarm就可以了。可在https://download.zonelabs.com/bin/free/1023_zl/zlsSetup_55_062_011.exe
下載(不需突破網路封鎖)。
Acrobat經常使用,不過打開時會加載一堆插件(平時根本用不到),既浪費時間,又浪費內存空間。解決方法是:到Acrobat的安裝目錄,下面有一個「Plug_ins」子目錄,把它改個名字就行了,比如改為「Plug_ins_old」,然後再打開Acrobat你會發現幾乎是一瞬間。
學員有時用電腦輸入文字時需要用到正體字,同修已有文章介紹了用「2003微軟拼音輸入法」解決這一問題。對於沒有「2003微軟拼音輸入法」的學員,這裏有一種簡便易行的方法:打開WORD2000或WORD的更高版本,先將簡體字的文字輸入,然後選中要變成正體的字,點擊「工具」然後選擇「語言」再選「中文簡繁轉換」,就可將所選的簡體字轉換成正體字。如要經常使用某一正體字如「進」,可將這一正體字粘貼在某一文檔內,要用時粘貼即可。