西部e網編輯：同時發兩篇文章，我不懂什么是病毒，也不知道第一篇《驚爆騰訊QQ最新版中確認含有病毒程序》是不是槍稿，再附一個騰訊官方聲明《騰訊對QQ2005 Beta3軟件安全性的聲明》，公說公有理，婆說婆有理，我也不知道哪個是真的？！待大家自己判斷吧！

驚爆騰訊QQ最新版中確認含有病毒程序

　　QQ最近在其官方網站WWW.QQ.COM上推出了QQ2005 beta3版，吸引了很多用戶試用。這本來是件好事情，卻爆出了這個版本的QQ可能含有病毒的消息。（延伸閱讀：網友怒曝：QQ 2005 Beta3版帶會自動改名的病毒）

　　為了證實這個消息的真實性，我趕緊到www.qq.com上下載了一個QQ2005 beta3，進行了詳細而認真的測試。

　　以下是測試結果：

　　1、這個版本的QQ安裝時，生成4個額外的病毒文件：這個版本的QQ安裝完畢后，除了生成QQ正常使用的文件外，的確會在系統文件夾c:\windows\downlo~1下生成多余的4個文件，其中2個為dll動態庫文件，1個為exe可執行文件，一個為dat數據文件。這4個文件互相配合，形成了一套功能完備的病毒程序（病毒行為詳見后面的分析）

　　2、病毒文件會在系統注冊表中增加一個獨立于QQ啟動項之外的啟動項：這4個文件被創建后，會在系統注冊表中增加一個名為“_TBHTray”的啟動項，路徑指向剛才所發現的2個dll文件中的一個，以保證這些文件能在系統啟動時被自動加載。因此，他們的自我啟動，在此時與QQ是否存在無關了

　　3、病毒文件采用多種方法實現自我隱藏：不知出于何種目的，這4個文件在自我隱藏方面可謂煞費苦心，集多個典型病毒的隱藏方法于一身，分別是：
? 文件名隨機生成，即便在同一臺電腦上，每次安裝QQ2005 BETA3，這4個文件的文件名都不相同，使得你很難找到 調用系統函數，將自身的文件屬性設置為系統級，使得在windows窗口模式下根本無法看到這些病毒文件，必須使用dos命令行模式才可看到。
? 無論你何時安裝，它會自動將dll文件的生成時間設置為2005-9-8 16:38，這是QQ 2005beta3證實發布之前的日期，使你很容易忽略和QQ 2005 BETA3的聯系。

　　4、該病毒使用鉤子技術實現了自我保護機制，使用戶根本無法手工刪除該病毒
　　在系統的最底層，掛了一個Debug鉤子，這個鉤子隨著系統的啟動而啟動，即使在安全模式下也會運行，保證從最底層獲得系統的控制權。

　　此外，該病毒還另外掛了CBT鉤子和鍵盤監視鉤子，這兩個鉤子和前面提到的debug鉤子相互配合，互相保護，不斷刷新系統注冊表及自身文件列表，一旦發現注冊表項或文件項被刪除，即會自動重新創建。這三個鉤子均無法手工停止，即便殺死QQ所有的進程后依然在工作。

　　5、該病毒具備自我升級機制，會繞開防火墻隨時從互聯網上升級到更新的版本

　　該病毒的exe文件負責客戶端與互聯網服務器的通信與升級，此exe文件在用戶每次打開IE時都會向互聯網服務器發回信息，并根據服務器的指令決定是否升級。由于該程序利用了IE訪問網絡的80端口，因此會繞開絕大多數的網絡防火墻，使得升級在不知不覺在進行！

　　6、該病毒記錄了用戶上網所一舉一動，并很有可能將這些內容打包發給了它的服務器

　　由于該病毒在系統中掛了一個鍵盤鉤子和CBT鉤子，它截獲并記錄用戶使用電腦的一舉一動，包括訪問的網址，地址欄輸入的內容，搜索詞，用戶名及密碼等。同時我還發現，在我打開IE 時，這個病毒均會向服務器會傳一大堆的數據，由于這些數據已經加密，我無法獲知究竟是什么內容，但根據數據排列和信息量來看，極有可能是用戶上網的訪問記錄等極其敏感的隱私信息！

　　7、該病毒在QQ卸載后依然會存在在用戶的機器中，無法徹底清除

　　如果將QQ 2005 BETA3卸載掉，這個時候，病毒文件依然會保留在機器里，并不被卸載掉。如果重新安裝一遍，由于病毒的文件名是隨機生成的，則又會在系統中增加一整套病毒文件。往復幾次，則硬盤中的病毒文件數量將觸目驚心！這些病毒文件互相嵌套，關系錯綜復雜，使得用戶根本無法分清彼此間的關系，根本無法將該病毒徹底清除干凈！

　　綜上所述，此程序已經具備了病毒所有的特性：自我隱藏、自我變形、自我保護、快速傳播、截獲用戶輸入、悄悄升級等，因此，我可以得出頗為肯定的結論：

　　在QQ官方網站www.qq.com推出的qq 2005 beta3內嵌了一個地地道道的病毒程序！

　　由于分析工作沒有全部完成，加之該病毒正處在潛伏期，目前還不是很清楚該病毒程序所做的一切行為，但目前已經能對該病毒的危害得出一定的結論了。該病毒會產生的危害有：

　　1、降低系統穩定性，導致部分用戶電腦崩潰

　　由于該病毒中濫用文件變名、Debug鉤子、自我保護等技術，使得系統穩定性大受影響。測試期間，測試機多次停止響應。如果使用工具強制刪除掉該病毒其中的某個dll文件，由于該病毒自我保護機制的不成熟，甚至會使得啟動無法啟動。
　　由于QQ是全國裝機量最大的軟件，覆蓋在上千萬臺電腦上，只要以上問題出現概率大于1%（事實上我測試時接近10%），必將導致數十萬的用戶無法繼續使用電腦，危害相當嚴重！！

　　2、急劇降低系統性能

　　由于該病毒在不斷的刷新注冊表、文件列表，同時利用鉤子截獲用戶的所有輸入，因此使得系統性能極具下降，這種下降在打開IE時表現得尤為明顯。在未安裝此病毒的測試機上，連續打開10個IE后，再打開IE窗口的速度與沒有明顯減慢；在已安裝此病毒的測試機上，打開第一個IE窗口時就明顯感覺到頓挫感，在打開第10個窗口時，常需數秒以上，最長時甚至長達1分鐘，無法忍受！！

　　在訪問新浪、搜狐等大型網站時，也能明顯感覺到打開網頁的速度明顯降低，常常點擊鏈接后機器失去響應數秒。

　　3、竊取用戶隱私

　　該病毒截獲了用戶所有的輸入，因此安裝了該病毒的機器即無隱私可言，上網的網址、輸入的用戶名、密碼、搜索用過的搜索詞均會被該病毒截獲。最嚴重的，如果用戶在機器上使用過銀行的網上支付系統，則存在極大的風險丟失卡號及密碼，被偷盜錢財。

　　4、有可能在互聯網上引發又一次輪蠕蟲沖擊波，導致互聯網癱瘓

　　由于附著在QQ上，所以該程序會以每天近百萬的速度散播在互聯網上，不需要太久，它將在數千萬臺電腦上潛伏。如果該病毒象其它病毒一樣，集中在一天內爆發，那將是比沖擊波更大的災難，整個互聯網，用戶的機器，都將癱瘓，后果不堪設想！！

　　對于這樣嚴重的病毒事件，強烈要求騰訊公司給出明確說法并對廣大用戶公開道歉！此外，我已經把這病毒程序提交給了諾頓、卡巴司機等多個病毒廠商，希望他們盡快能將其加入最新病毒庫，保障網民的安全！同時我也奉勸廣大互聯網用戶，在該問題解決之前，不要下載安裝QQ 2005 BETA3。

騰訊對QQ2005 Beta3軟件安全性的聲明

近日,部分網站和論壇出現一篇質疑騰訊QQ最新版軟件(QQ2005 Beta3)安全性的文章,該文內容存在著嚴重的誤報行為,為了避免該文對QQ用戶產生不必要的誤導,騰訊公司特作以下澄清和聲明:


1、 騰訊公司一貫堅持一切以用戶價值為依歸的經營理念，保障用戶利益，為用戶提供健康、安全的專業服務。一直以來，騰訊公司都非常重視產品的安全，所有官方軟件發布前均經過嚴格測試，不會攜帶任何病毒程序，請所有用戶放心使用騰訊公司官方發布的最新版QQ軟件（QQ2005 Beta3）。

2、 騰訊公司最新推出的QQ2005 Beta3的安裝選擇里，新增了“QQ地址欄搜索”插件，該插件的作用是增強地址欄搜索功能，用戶完全可以自主選擇是否安裝，并可以通過“添加/刪除程序”選擇是否完全卸載該插件，用戶在QQ2005 Beta3安裝過程中發現的新增程序即為此插件。

3、 為了給用戶最好的體驗，提高運行速度和減少響應時間，“QQ地址欄搜索”插件采用了Windows標準的接口，隨著操作系統啟動自動運行。同時，該插件還采用了“動態文件名”技術，以防止一些惡意插件和程序的強行修改和刪除。該插件在運行中與服務器的通訊僅為自身升級所用，絕對不會收集和發送任何有關用戶隱私的信息，不會侵害用戶的任何利益，不會修改用戶的任何安全設置。

4、 長期以來，騰訊公司都在不遺余力地打擊病毒對QQ用戶的搔擾行為，并與各大反病毒廠商建立了長期、緊密的合作關系，以便為QQ用戶提供更多安全保障。

感謝所有QQ用戶長期以來對騰訊公司各項業務的支持和關注。騰訊公司作為一家負責任的公司，致力于為海量的用戶提供創新、安全的互聯網增值服務，是廣大用戶值得信賴的服務提供商。騰訊公司將一如既往，為廣大用戶提供更多安全、易用的可自主選擇的互聯網應用軟件和服務。

　　　 騰訊公司
二OO五年九月二十七日