1、在系统文件夹c:\Windows(此处请根据各人所装系统不同作相应调整)\Downloaded Program Files下生成多余的4个文件,其中2个为dll动态库文件,1个为exe可执行文件,一个为dat数据文件。
2、在系统注册表中增加一个独立于QQ启动项之外的启动项:这4个文件被创建后,会在系统注册表中增加一个名为“_TBHTray”的启动项,路径指向刚才所发现的2个dll文件中的一个,以保证这些文件能在系统启动时被自动加载。因此,他们的自我启动,在此时与QQ是否存在无关了
3、采用多种方法实现自我隐藏:
1)、文件名随机生成,即便在同一台电脑上,每次安装QQ2005 BETA3,这4个文件的文件名都不相同,使得你很难找到调用系统函数,将自身的文件属性设置为系统级,使得在Windows窗口模式下根本无法看到这些文件,必须使用dos命令行模式才可看到;
2)、无论你何时安装,它会自动将dll文件的生成时间设置为2005-9-8 16:38,这是QQ 2005beta3证实发布之前的日期,使你很容易忽略和QQ 2005 BETA3的联系,如图:
4、使用钩子技术实现了自我保护机制,使用户根本无法手工删除
该文件在系统的最底层,挂了一个Debug钩子,这个钩子随着系统的启动而启动,即使在安全模式下也会运行,保证从最底层获得系统的控制权
此外,该病毒还另外挂了CBT钩子和键盘监视钩子,这两个钩子和前面提到的debug钩子相互配合,互相保护,不断刷新系统注册表及自身文件列表,一旦发现注册表项或文件项被删除,即会自动重新创建,这三个钩子均无法手工停止,即便杀死QQ所有的进程后依然在工作。
5、具备自我升级机制,会绕开防火墙随时从互联网上升级到更新的版本
该文件的exe文件负责客户端与互联网服务器的通信与升级,此exe文件在用户每次打开IE时都会向互联网服务器发回信息,并根据服务器的指令决定是否升级。由于该程序利用了IE访问网络的80端口,所以许多网络防火墙都不会加以限制。
7、在QQ卸载后依然会存在在用户的机器中
如果将QQ 2005 BETA3卸载掉,这个时候,文件依然会保留在机器里,并不被卸载掉。如果重新安装一遍,由于文件名是随机生成的,则又会在系统中增加一整套性质相同的不同名文件。往复几次,将使硬盘增加很多无谓的垃圾数据。这也使用户以后的删除出现困扰。
8、生成的这4个文件用ICESWORD可以发现并删除(即使在QQ BETA3已经运行时也照样能删除)。
相关文章
