[转帖]恐怖,用QQ软件要小心了!

楼主 曾光发 于 2006-05-21 23:05:24
[转帖]恐怖,用QQ软件要小心了!
恐怖,用QQ软件要小心了!

 
现在英文的普及率很高了吧?您是不是知道“hook”代表“钩子”的意思呢?
  那么好,我们继续讲这件发生在笔者身上,也发生在中国几乎所有网络用户身上的,严重危害国家安全的,令人愤怒的事情。
 2005年10月,中国最大的即时通讯软件公司:腾讯公司向公众推出了他们的新版本QQ--QQ2005 Beta III,如同以往一样笔者得知了这个消息,并抢先去腾讯的官方网站下载到了这个版本,开始测试使用。
  这个版本的更新是革命性的,更新了QQ的内核,并且推出了一个经过优化了的,叫做“超级视频”的视频工具,能够使用户更流畅的浏览聊天对象的图像,也支持网络会议,让人心情振奋---国产即时聊天软件终于可以和国外的MSN、ICQ有一拼了!
但是问题随之出现!
  第二天在笔者重新启动电脑之后,系统出现了这样的提示:“加载 CROGRA~1TENCENTAddrPlusQAHook.dll 时出错找不到指定的模块”笔者是程序设计师,笔者的电脑是经过优化了几万遍的,现在系统竟然出现了这样的提示,让笔者惊讶!

  大家知道,作为即时通讯工具的Tencent QQ虽然在从前的老版本中将自身的快捷方式copy到“启动”文件夹下,强制设置为开机运行,但是这个只要轻轻的删除就没有其他大的问题,并且在后续版本中是否要开机运行是要经过安装用户的设置的。时隔两年,他们怎么又搞这个花样呢!?

笔者对此不屑一顾,在注册表  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]中删除了C:progra~1tencenaddrplus项
  可是,问题远远还没有解决!

  当第三天笔者再次开机的时候,“加载CROGRA~1TENCENTAddrPlusQAHook.dll 时出错找不到指定的模块”这样的提示依然存在!

  笔者困惑了,难道是病毒?笔者开始在搜索工具中搜索相关信息,没有任何的结果。当时是10月下旬。

  难道是笔者的女朋友写的病毒?这个小姑娘最近聪明了,学会监视笔者的QQ信息了?可是胳膊毕竟是拧不过大腿的,笔者微微一笑,在安全模式中找到CROGRA~1TENCENT文件夹将其删除。并删除注册表中的相应键值。重新启动之后,错误提示消失了
令人惊讶的事情发生了,比者再次登陆QQ的时候,发现,C:progra~1tencenaddrplus文件夹被重新创建了!难道小姑娘阴损到绑定了我的QQ文件?
  一个电话打过去,女朋友对此事一无所知。
  奇怪!

  笔者到腾讯官方网站[URL=http://dl.qq.com]http://dl.qq.com[/URL] 重新下载了QQ2005 Beta III的安装文件,将QQ重装。问题依然没有得到解决。

  笔者困惑了,难道是腾讯公司的新流氓软件!?笔者再次到搜索中寻找相关资料,Baidu-没找到,Googel-没找到,Searth.com-没找到,Searth.msn.com-找到了:
  “腾汛已经公开表示QAHOOK是插件”
  笔者安心多了,继续安心的使用QQ2005 Beta III,对系统启动时候的提示充耳不闻,反正笔者的电脑要几天才重起一次,没有什么麻烦的,眼不见心不烦!

但是奇怪的问题接种而至!

  稳定间断运行半年多的电脑,开始出现各种毛病,每天都要蓝屏好几次,系统提示“缓冲区溢出”!

  在确定了硬件稳定性没有问题之后,笔者开始怀疑计算机中毒了!笔者开始手工查毒:1,察看注册表、启动文件夹中的启动项目;2,察看“服务”中是否有未知项目;3,搜索c盘中的所有11月20日之后修改的文件的属性。经过近半个小时的查毒,笔者没有发现除了C:progra~1tencenaddrplus
  这个文件夹之外的任何问题!

  难道腾讯公司搞桌面搜索?难道这个东西是新功能的系统插件?

  因为笔者的计算机中有很多高机密的文件,一旦这些资料被不法获得,后果极其严重!所以笔者一咬牙、一跺脚,删了QQ2005 Beta III,从此这台机器上不再装QQ。系统蓝屏的问题随之解决!

  笔者的警惕性提升至最高。
将C:progra~1tencenaddrplus文件夹下的所有文件,以及相关的Tencent文件交给笔者在kaspersky Lab的好友Andrei Tikhono**先生进行分析。结论很快便出来了,第二天笔者收到Andrei Tikhono**先生的邮件,结果显示,该文件夹下的QAHOOK.dll为木马文件,在系统启动之后自动加载,切入到所有系统服务的进程中,如果不在安全模式下,是无法删除的,即使删除之后,当用户使用QQ的时候,会由TIMPlatform.exe文件重新生成!该木马可以由发送方(腾讯公司或者是幕后黑手)察看用户本地的所
有文件,权限为SYSTEM(WINDOWS操作系统中的最高权限“系统”权限)!

  笔者认识到了这件事情的严重性,着手开始调查,向在国外的其他程序师求助分析。

  同时,笔者开始对其运行特征进行分析,概况如下:
  如果用户将腾讯QQ装入自定义文件夹下,系统在启动的时候检测不到QQ程序TIMPlatform.exe,会出现上文的错误提示;如果用户将腾讯QQ装入C:progra~1tencenqq(安装默认)文件夹下,那么在系统启动时,不会出现错误提示。所以很明显是因为木马程序的兼容性不够全面造成的。并且如果用户将TIMPlatform.exe安装到默认位置的话就也不会出现错误提示。

  从QQ2003开始,笔者就很奇怪TIMPlatform.exe这到底是一个什么文件,按照字面分析的话,应该叫“腾讯信息制度图”,如果用户启动TENCENT QQ,TIMPlatform.EXE会随之启动,但是如果将其关闭,并不影响其他程序的正常使用,后来发现TIMPlatform有控制“高峰时期同一机器上开启QQ个数”的功能,所以笔者就不再在意。现在看来,这已经成为了腾讯公司幕后的一双黑手,随时监控用户的本地资料!

  但是,谁又是腾讯幕后黑手的幕后黑手呢?

 2005年11月6日,笔者收到日本Software Research Associates (SRA)软件公司的好友柴岗*系统构架师的回信,并指出,日本防卫厅情报总部曾经在该公司测试过类似的木马,特征极其相似!

  笔者震惊了!

  中国的QQ注册用户已经达到了4.8亿,其中活跃用户1.4亿,假设升级至QQ2005Beta III版本的QQ用户只占其中的10%的话,那么就意味着,在中国的计算机用户中,已经有14,000,000人感染了这种木马!现今,腾讯QQ2005正式版已经推出一段时间了,其中的玄机更是令人赞叹,用笔者业内的一个程序员朋友的话来讲:“QQ2005正式版只是升级了QQ2005 Beta III中的木马文件,使用户不再那么轻易的能够察觉到!”

  如果你是一个使用QQ的神州六号工作人员,那么你的所有资料都已经在腾讯公司背后那双黑手中了……

  但是随后,理智战胜了冲动,笔者着手调查中国(深圳)腾讯公司的背景、股份资料和木马事件的相关证据,随时准备联合一些QQ用户向国家相关机构投诉。相信不久的将来,会有一个明确的结果的!

  联想起2005年的2、3季度的“挂QQ”风,我们是不是应该感受到一些什么了呢?

  我们请求相关机关能够介入此事,并展开深入的调查!否则,后果不堪设想!

  总之,历史证明了,卖国者,会遭报应的!
 

本文转自[URL=http://www.21ic.com]http://www.21ic.com[/URL]作者为Chang_HS
回复
1楼 曾光发 于 2006-05-22 00:24:17
我这打开太慢,请版主帮忙修改一下版面!
回复
2楼 曾添喜 于 2006-05-22 10:11:57
閱過````
  不過我打開好像不會太慢呀````
回复
3楼 曾健峰 于 2006-05-22 16:34:51
[QUOTE][B]下面引用由[U]曾光发[/U]发表的内容:[/B]

我这打开太慢,请版主帮忙修改一下版面![/QUOTE]


[IMGA=0,absMiddle]http://www.zengshi.net/bbs/images/UBBicon/em10.GIF[/IMGA]你是楼主吖,你也可以作修改的吖?


[IMGA=0,absMiddle]../images/upload/2006/05/22/163423.jpg[/IMGA]
第三个就是吖。我小学文化都会吖!这贴我也修改了几次了吖![IMGA]http://www.zengshi.net/bbs/images/UBBicon/em08.GIF[/IMGA]
回复
1  

电脑版 Page created in 0.0312 seconds width 5 queries.