查找隐藏在QQ里的“内鬼”

查找隐藏在QQ里的“内鬼” 查找隐藏在QQ里的“内鬼” 　　如果有好友莫名其妙地给你发一些比如“视频女孩”的网站链接或者是向 你传送带有病毒的文件，你不要怪你的好友故意捣乱，因为他也是受害者，他 的QQ受到了病毒的袭击，自动向外散发有毒信息。本期来自苏州的扫黑尖兵王 强就要来揪出藏在QQ里的“内鬼”，还大家一片干净的网络天空。 　　扫黑尖兵：王强 　　所在城市：苏州 　　使用系统：Windows XP SP2 症状描述 　　今天上网后不久，就接到多位QQ好友的狂骂自己的信息，弄得我莫名其妙。 一打听才知道，他们纷纷收到我QQ发送的各种乱七八糟的信息，并且随消息还 附带有病毒文件。并且病毒文件的名称也五花八门，搞得我莫名其妙，难道QQ 被盗？ 　　于是重新申请一个QQ号，加上好友，结果不出3分钟，就收到接收文件的 请求。而且是带有病毒的文件。难道是我的QQ被病毒袭击了？联想到前几天在安 装一个从网上下载的程序时，弹出一个错误窗口。当时就觉得不对劲，于是马上 进行杀毒，可是并没有发现任何病毒，现在看来一定是这个程序在“捣乱”。 查找线索 　　打开任务管理器查看，发现一个名为“Rundll32.exe”的进程。普通的应用 程序很少调用Rundll32.exe，最常使用Rundll32.exe的就是一些流氓软件，或 木马后门，看来这个Rundll32.exe最为可疑。 　　点击“开始”菜单中的“搜索文件或文件夹”命令，接着搜索 “Rundll32.exe”这个关键词。结果在系统目录的SYSTEM和SYSTEM32文件夹中 同时发现了Rundll32.exe的踪影。通过对文件图标的分辨很快我就找到了可疑的文件，因为假的Rundll32.exe居然采用了WINRAR的图标（图1）。　 图1　　查找到可疑的文件后，我开始准备查找病毒的启动项。运行注册编辑器，同样搜索“Rundll32.exe”这个关键词，结果没有发现可疑的启动项。既然没有发现可疑的启动项，我决定开始清除病毒，重新启动系统再检查系统进程，并没有发现Rundll32.exe这个进程，当我启动QQ正准备向朋友报喜的时候，那个“可恶”的进程又出现了。 清除病毒 　　看来这个QQ病毒并没有想象的那么简单，一定是采用了文件保护的技术，这样当其中一个文件被删除以后，其他的文件马上就会生成一个Rundll32.exe文件的副本。通过刚才的观察和先前的检查，我觉得这个QQ病毒并不是随系统 启动的，而是跟着QQ的启动而启动的。于是马上来到QQ的安装目录，检查后又发现一个采用WINRAR为图标的文件，名称为“TIMPlatform.exe”，除此以外还发现一个名为“TIMP1atform.exe”（注意是1不是L）的文件（图2）。　 图2　　TIMPlatform.exe（注意不是1）是QQ和TM共同使用的外部应用开发接口管理程序，属于QQ 2004版，开始就成为不可或缺的底层核心模块。通过对文件属性的查看，发现“TIMP1atform.exe”这个文件是由腾讯开发的。看来这个QQ病毒通过将正规的“TIMPlatform.exe”改名为“TIMP1atform.exe”，而将病毒本身替代了QQ中的该程序。 　　为了彻底地清除病毒，我通过系统搜索功能利用“TIMPlatform.exe”的时间属性对系统进行搜索，结果又发现了两个文件。首先结束Rundll32.exe这个进程，接着将刚刚发现的两个文件及Rundll32.exe、TIMPlatform.exe删除掉。然后将病毒修改的“TIMP1atform.exe”还原为“TIMPlatform.exe”。 　　最后再次对系统进行检测，发现注册表中文本文件和可执行文件的关联被更改了，马上通过超级兔子对它进行修复，最终成功的将该病毒从系统中完全清除。 　　随着QQ用户的逐渐增多，QQ也成为越来越多病毒的温床。其实，稍微有些编程能力的用户就能编写类似的病毒，即使是不能编写也可以通过改造别人编写的病毒来进行传播。这也使得这类病毒体积越来越小，功能越来越多，各种新病毒或变种层出不穷，所以使得现在很多的杀毒软件疲于应付，也很难在第一时间进行查杀。 　　王强在检查可疑文件时，首先从系统目录着手，在没有彻底清除病毒时，对其他相关目录进行了检查，最终成功清除病毒本身。大家面对这种病毒危害的时候还可以使用杀毒软件厂商开发的专杀工具进行查杀。比如QQ大盗查杀工具、QQKAV、QQ尾巴专杀工具（图3）等，都可以很容易的对付这些常见的QQ病毒。　 图3