本人誤刪了QQ，于是到黑白網(wǎng)去尋找珊瑚蟲版的QQ下載，沒想到居然在黑白網(wǎng)首頁(yè)看到這條新聞。于是拿來(lái)轉(zhuǎn)發(fā)。

原文出處：http://www.heibai.net/article/info/info.php?infoid=26190
不相信我轉(zhuǎn)帖的朋友可以去黑白網(wǎng)看原文，地址在上面


（2005-12-26 07:20）  
現(xiàn)在英文的普及率很高了吧？您是不是知道“hook”代表“鉤子”的意思呢？
那么好，我們繼續(xù)講這件發(fā)生在筆者身上，也發(fā)生在中國(guó)幾乎所有網(wǎng)絡(luò)用戶身上的，嚴(yán)重危害國(guó)家安全的，令人憤怒的事情。
2005年10月，中國(guó)最大的即時(shí)通訊軟件公司：騰訊公司向公眾推出了他們的新版本QQ---QQ2005 Beta III，如同以往一樣筆者得知了這個(gè)消息，并搶先去騰訊的官方網(wǎng)站下載到了這個(gè)版本，開始測(cè)試使用。
這個(gè)版本的更新是革命性的，更新了QQ的內(nèi)核，并且推出了一個(gè)經(jīng)過優(yōu)化了的，叫做“超級(jí)視頻”的視頻工具，能夠使用戶更流暢的瀏覽聊天對(duì)象的圖像，也支持網(wǎng)絡(luò)會(huì)議，讓人心情振奮---國(guó)產(chǎn)即時(shí)聊天軟件終于可以和國(guó)外的MSN、ICQ有一拼了！
但是問題隨之出現(xiàn)！
第二天在筆者重新啟動(dòng)電腦之后，系統(tǒng)出現(xiàn)了這樣的提示：
“加載 C:PROGRA~1TENCENTAddrPlusQAHook.dll 時(shí)出錯(cuò)找不到指定的模塊”筆者是程序設(shè)計(jì)師，筆者的電腦是經(jīng)過優(yōu)化了幾萬(wàn)遍的，現(xiàn)在系統(tǒng)竟然出現(xiàn)了這樣的提示，讓筆者驚訝！

大家知道，作為即時(shí)通訊工具的Tencent QQ雖然在從前的老版本中將自身的快捷方式copy到“啟動(dòng)”文件夾下，強(qiáng)制設(shè)置為開機(jī)運(yùn)行，但是這個(gè)只要輕輕的刪除就沒有其他大的問題，并且在后續(xù)版本中是否要開機(jī)運(yùn)行是要經(jīng)過安裝用戶的設(shè)置的。時(shí)隔兩年，他們?cè)趺从指氵@個(gè)花樣呢！？

筆者對(duì)此不屑一顧，在注冊(cè)表
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
中刪除了C:progra~1tencenaddrplus項(xiàng)

可是，問題遠(yuǎn)遠(yuǎn)還沒有解決！

當(dāng)?shù)谌旃P者再次開機(jī)的時(shí)候，
“加載 C:PROGRA~1TENCENTAddrPlusQAHook.dll 時(shí)出錯(cuò)找不到指定的模塊”
這樣的提示依然存在！

筆者困惑了，難道是病毒？筆者開始在搜索工具中搜索相關(guān)信息，沒有任何的結(jié)果。當(dāng)時(shí)是10月下旬。

難道是筆者的女朋友寫的病毒？這個(gè)小姑娘最近聰明了，學(xué)會(huì)監(jiān)視筆者的QQ信息了？可是胳膊畢竟是擰不過大腿的，筆者微微一笑，在安全模式中找到C:PROGRA~1TENCENT文件夾將其刪除。并刪除注冊(cè)表中的相應(yīng)鍵值。重新啟動(dòng)之后，錯(cuò)誤提示消失了。

令人驚訝的事情發(fā)生了，比者再次登陸QQ的時(shí)候，發(fā)現(xiàn)，C:progra~1tencenaddrplus文件夾被重新創(chuàng)建了！難道小姑娘陰損到綁定了我的QQ文件？

一個(gè)電話打過去，女朋友對(duì)此事一無(wú)所知。

奇怪！

筆者到騰訊官方網(wǎng)站http://dl.qq.com重新下載了QQ2005 Beta III的安裝文件，將QQ重裝。問題依然沒有得到解決。

筆者困惑了，難道是騰訊公司的新流氓軟件！？筆者再次到搜索中尋找相關(guān)資料，Baidu-沒找到，Googel-沒找到，Searth.com-沒找到，Searth.msn.com-找到了：
“騰汛已經(jīng)公開表示QAHOOK是插件”

筆者安心多了，繼續(xù)安心的使用QQ2005 Beta III，對(duì)系統(tǒng)啟動(dòng)時(shí)候的提示充耳不聞，反正筆者的電腦要幾天才重起一次，沒有什么麻煩的，眼不見心不煩！

但是奇怪的問題接種而至！

穩(wěn)定間斷運(yùn)行半年多的電腦，開始出現(xiàn)各種毛病，每天都要藍(lán)屏好幾次，系統(tǒng)提示“緩沖區(qū)溢出”！

在確定了硬件穩(wěn)定性沒有問題之后，筆者開始懷疑計(jì)算機(jī)中毒了！筆者開始手工查毒：1,察看注冊(cè)表、啟動(dòng)文件夾中的啟動(dòng)項(xiàng)目；2，察看“服務(wù)”中是否有未知項(xiàng)目；3，搜索c盤中的所有11月20日之后修改的文件的屬性。經(jīng)過近半個(gè)小時(shí)的查毒，筆者沒有發(fā)現(xiàn)除了
C:progra~1tencenaddrplus
這個(gè)文件夾之外的任何問題！

難道騰訊公司搞桌面搜索？難道這個(gè)東西是新功能的系統(tǒng)插件？

因?yàn)楣P者的計(jì)算機(jī)中有很多高機(jī)密的文件，一旦這些資料被不法獲得，后果極其嚴(yán)重！所以筆者一咬牙、一跺腳，刪了QQ2005 Beta III，從此這臺(tái)機(jī)器上不再裝QQ。系統(tǒng)藍(lán)屏的問題隨之解決！

筆者的警惕性提升至最高。

將C:progra~1tencenaddrplus文件夾下的所有文件，以及相關(guān)的Tencent文件交給筆者在kaspersky Lab的好友Andrei Tikhono**先生進(jìn)行分析。結(jié)論很快便出來(lái)了，第二天筆者收到Andrei Tikhono**先生的郵件，結(jié)果顯示，該文件夾下的QAHOOK.dll為木馬文件，在系統(tǒng)啟動(dòng)之后自動(dòng)加載，切入到所有系統(tǒng)服務(wù)的進(jìn)程中，如果不在安全模式下，是無(wú)法刪除的，即使刪除之后，當(dāng)用戶使用QQ的時(shí)候，會(huì)由TIMPlatform.exe文件重新生成！該木馬可以由發(fā)送方（騰訊公司或者是幕后黑手）察看用戶本地的所有文件，權(quán)限為SYSTEM（WINDOWS操作系統(tǒng)中的最高權(quán)限“系統(tǒng)”權(quán)限）！

筆者認(rèn)識(shí)到了這件事情的嚴(yán)重性，著手開始調(diào)查，向在國(guó)外的其他程序師求助分析。

同時(shí)，筆者開始對(duì)其運(yùn)行特征進(jìn)行分析，概況如下：
如果用戶將騰訊QQ裝入自定義文件夾下，系統(tǒng)在啟動(dòng)的時(shí)候檢測(cè)不到QQ程序TIMPlatform.exe，會(huì)出現(xiàn)上文的錯(cuò)誤提示；如果用戶將騰訊QQ裝入C:progra~1tencenqq（安裝默認(rèn)）文件夾下，那么在系統(tǒng)啟動(dòng)時(shí)，不會(huì)出現(xiàn)錯(cuò)誤提示。所以很明顯是因?yàn)槟抉R程序的兼容性不夠全面造成的。并且如果用戶將TIMPlatform.exe安裝到默認(rèn)位置的話就也不會(huì)出現(xiàn)錯(cuò)誤提示。

從QQ2003開始，筆者就很奇怪TIMPlatform.exe這到底是一個(gè)什么文件，按照字面分析的話，應(yīng)該叫“騰訊信息制度圖”，如果用戶啟動(dòng)TENCENT QQ，TIMPlatform.EXE會(huì)隨之啟動(dòng)，但是如果將其關(guān)閉，并不影響其他程序的正常使用，后來(lái)發(fā)現(xiàn)TIMPlatform有控制“高峰時(shí)期同一機(jī)器上開啟QQ個(gè)數(shù)”的功能，所以筆者就不再在意。現(xiàn)在看來(lái)，這已經(jīng)成為了騰訊公司幕后的一雙黑手，隨時(shí)監(jiān)控用戶的本地資料！

但是，誰(shuí)又是騰訊幕后黑手的幕后黑手呢？

2005年11月6日，筆者收到日本Software Research Associates (SRA)軟件公司的好友柴崗*系統(tǒng)構(gòu)架師的回信，并指出，日本防衛(wèi)廳情報(bào)總部曾經(jīng)在該公司測(cè)試過類似的木馬，特征極其相似！

筆者震驚了！

中國(guó)的QQ注冊(cè)用戶已經(jīng)達(dá)到了4.8億，其中活躍用戶1.4億，假設(shè)升級(jí)至QQ2005 Beta III版本的QQ用戶只占其中的10%的話，那么就意味著，在中國(guó)的計(jì)算機(jī)用戶中，已經(jīng)有14，000，000人感染了這種木馬！現(xiàn)今，騰訊QQ2005正式版已經(jīng)推出一段時(shí)間了，其中的玄機(jī)更是令人贊嘆，用筆者業(yè)內(nèi)的一個(gè)程序員朋友的話來(lái)講：“QQ2005正式版只是升級(jí)了QQ2005 Beta III中的木馬文件，使用戶不再那么輕易的能夠察覺到！”

如果你是一個(gè)使用QQ的神州六號(hào)工作人員，那么你的所有資料都已經(jīng)在騰訊公司背后那雙黑手中了……

但是隨后，理智戰(zhàn)勝了沖動(dòng)，筆者著手調(diào)查中國(guó)（深圳）騰訊公司的背景、股份資料和木馬事件的相關(guān)證據(jù)，隨時(shí)準(zhǔn)備聯(lián)合一些QQ用戶向國(guó)家相關(guān)機(jī)構(gòu)投訴。相信不久的將來(lái)，會(huì)有一個(gè)明確的結(jié)果的！

聯(lián)想起2005年的2、3季度的“掛QQ”風(fēng)，我們是不是應(yīng)該感受到一些什么了呢？

我們請(qǐng)求相關(guān)機(jī)關(guān)能夠介入此事，并展開深入的調(diào)查！否則，后果不堪設(shè)想！

總之，歷史證明了，賣國(guó)者，會(huì)遭報(bào)應(yīng)的！

暫不說(shuō)真假，反正據(jù)我所知，文中提到的插件確實(shí)會(huì)自動(dòng)重命名。。。

× 烏有之鄉(xiāng) WYZXWK.COM

您的打賞將用于網(wǎng)站日常運(yùn)行與維護(hù)。
幫助我們辦好網(wǎng)站，宣傳紅色文化！

歡迎掃描下方二維碼，訂閱烏有之鄉(xiāng)網(wǎng)刊微信公眾號(hào)