朋友们千万不要使用ＱＱ２００６版

独孤飘零

腾讯为推广其搜索引擎暗中在其QQ2006贺岁版(安装新版QQGame也会有)中增加了SOSO的插<br />件! <br />安装其间没有任何明显提示!不经用户同意即暗中安装(通常默认路径是:C:\Program File<br />s\TENCENT\AdPlus文件夹），就算你将QQ安装在其他文件夹，AdPlus文件夹仍然被安装在<br />C:\Program Files\TENCENT下，让你无法察觉。其内含5个文件:主程序:Runner.exe,数据<br />文件:Stdtbh.dat,相关dll:IEHelp.dll,TCtrl.dll,守护dll:SSAdr.dll)!同时在删除QQ后<br />，该文件夹中的文件并不同步删除~！！ <br />其特点是CPU占用率长期居高不下，IE浏览器打开网页速度超慢，游戏玩到一半经常提示内<br />存不足，乃至当机……. <br />插件安装后,每次一旦运行腾迅相关软件,它就跟着偷偷在后台执行并在注册表中强行添加<br />了开机自动运行的程序,没有任何提示!,其运行后的作用是:当用户有复制搜索关键字词欲<br />进行搜索的行为时,自动连接到SOSO主页. <br />其一旦安装后用普通方式将无法删除!因为插件的运行包含了守护进程，守护进程的作用是<br />监视主程序是否在运行,一旦主程序被意外结束守护进程会自动重新运行它! 因此除非把守<br />护进程也结束。其智能程度绝对不亚于当前流行的木马病毒。 <br />这几个文件被QQ主程序调用运行后，会同时释放出一个随机文件名的文件，这几个文件应<br />该就是病毒（根据它的特征，请允许我这么称呼）的原体。 <br />c:\Progrm Files\TENCENT\Adplus下多了一些文件 <br />IEHelp1.dll <br />IEHelp2.dll <br />IEHelp.dll <br />QAHook1.dll <br />QAHook2.dll <br />QAHook3.dll <br />QAHook.dll <br />Runner.exe <br />Stdtbh.dat <br />TCtrl.dll <br />另外在C:\WINDOWS\system32下还会出现一个文件 <br />Gtxvzb.dll <br />再进一步深入，发现这些病毒文件会采用多种方式保证自身的正常运行启动，很简单的例<br />子：它会在注册表中增加名为“AddrPlus3”的启动项，路径指向相关文件，用以保证这些<br />文件能够在系统启动时被优先加载。同时后台常驻程序，从而实现了一套只有病毒所使用<br />的强大的自我保护机制，当一发现自身文件、注册表项，被破坏，会立即自动恢复，防止<br />用户轻易手工删除。 <br />当你运行QQ后，程序就在后台执行起来。就算你删除QQ，依然无法删除C:\Program Files<br />\Tencent\AdPlus里面的全部文件。残留无法删除的文件如下： <br />TEHelp.dll <br />QAHook.dll <br />这还没有完，好戏还在后头，该病毒程序相对于其他病毒做的更为巧妙，在系统的最底层<br />，家族了一个Debug钩子，这个钩子随着系统的启动而启动，无法通过正常途径停止、删除<br />。此外，该病毒还另外挂了CBT和键盘监视钩子，这两个钩子和前面提到的debug钩子相互<br />配合，互相保护，不断刷新系统注册表及自身文件列表，一旦发现注册表项或文件项被删<br />除，即会自动重新创建。这三个钩子均无法手工停止，即便杀死QQ所有的进程后依然在工<br />作。