遭遇QQ木马病毒

2009年6月9日那天，朋友打电话说他的QQ被人冒用，并且进入他的QQ号以他的口气骗了他的一个QQ好友的钱。起因于他加了一个陌生的QQ好友，并且打开陌生人传来的文件，中了木马病毒，于是QQ号被人窃取，使盗号者目的得逞。我准备详细分几个部分介绍一下朋友中QQ木马病毒这件事，供QQ或者类似工具的使用者参考，这几个部分分别是：中QQ木马病毒啦，终于查出是QQ木马，分析一下QQ木马的行为吧，上报木马，查杀木马，感叹一下QQ木马。

中QQ木马病毒啦
朋友简述了一下他中QQ木马的过程。6月4日，一个陌生的女子请求加为好友，通过；聊天过程中，这名女子说她有艺术照请朋友看看，发来文件“我的照片.scr”，朋友接受，打开，中木马，密码被窃取；第二天，盗号者以他的口气向他的朋友谎称表弟生病住院（不是这个事也是类似的谎话），急需500元钱，请他的朋友通过银行卡打钱去。朋友打钱100元。后来，他的朋友通过手机问他借钱的事，他说不知，才发觉QQ密码被窃取；至此，盗号者目的得逞。6月10日晚，又有一个陌生人请求加为好友，并说有一段舞蹈视频请朋友评价，朋友吸取教训，拒绝。从这个事情可以再次证明那条比较精典的准则：QQ上，不要随便接收甚至打开陌生人发来的文件和打开陌生人发来的网址。况且，我朋友接收和打开的还是极度危险的可执行文件。这儿，还有一位因为随便打开陌生人图片文件和点开链接而在阿里旺旺上受骗上当的朋友： 淘宝创业100天第四十九天：点错链接，月入20万的网店被黑客偷走！

终于查出是QQ木马病毒
首先，在这里没有评价杀毒软件好坏的意思，杀毒软件各有特色，可能每款杀软都有失手的时候。我的朋友用的正版更新了病毒库的金山毒霸，没有查到病毒。我让他把病毒文件发给我，我先后在Linux下面试了ESET NOD32，在Windows下面试了360木马扫描，瑞星，卡巴斯基都没查到病毒，最后，在Linux，我用f-prot查出了病毒，在f-prot中名为：W32/Autorun.KA 。实际上，这种分别找杀毒软件扫描可疑文件是个笨办法，在探索相关网页的时候，我发现有一些集成了多种杀毒软件引擎的在线可疑文件分析可供使用，如：VirSCAN.org，提供了38个杀毒软件引擎来扫描你的可疑文件，并且，当您上传的文件检测后发现可疑时，他们会将可疑文件及检测报告发送给各个提供引擎的反病毒厂商，以供其参考并更新其反病毒软件，更好的为更多的用户服务，避免病毒疫情的扩散。我把这个木马提交给viruscan.org分析结果是： 39%的杀软(15/38)报告发现病毒。这类提供在线可疑文件扫描服务的还有国外的： VirusTotal， Jotti's等等。

分析一下QQ木马的行为吧
为了分析这款木马的行为，我”以身试毒“，实际执行这个木马观察它的行为。当然，我不是在日常使用的实机系统上进行，我是在VirtualBox虚拟机软件里安装的Windows xp上进行的。顺便说一句，我的这个VirtualBox是安装在华硕 Eee PC 900HA上里面的Ubuntu 9.04 Netbook Remix操作系统上的。
首先，把虚拟机的当前状态作一个系统快照备份，可以在实验了病毒以后回到这个备份。然后，去掉Windows XP客户系统与宿主系统Ubuntu Linux之间的数据交换通道，如：停止Ubuntu的samba文件共享服务，停止Windows XP的可写虚拟机数据空间，将病毒文件所在目录设为只读数据空间，把虚拟机的网络连接由bridge模式改为nat模式（停止网上邻居），然后，下一步，就可以安装病毒了。如果你不明白上面虚拟机和VirtualBox里面的一些术语，请在网上google一下。我在近期也将写一篇介绍虚拟机的日记。
然后，进入虚拟机中的Windows XP，双击病毒文件“我的照片.scr”，一张清纯的美女照片出现，同时发现虚拟机的网络和硬盘指示灯不停的闪烁（应该是木马病毒在系统里动手脚了）。在我事先没有安装QQ的系统里，木马在D盘的Program Files目录下建了一个QQ2008的目录，在这个目录下生成了QQ2009.exe和hui.exe的文件（正常的QQ执行文件是QQ.exe），然后在桌面上生成了几个QQ的快捷方式，快捷方式指向QQ2009.exe。双击桌面上的QQ快捷方式，会弹出一个跟正常QQ2009相似的登录界面，不过仔细看还是有区别的，它有两个自动登录的选择框，另外，打开的密码键盘也比较粗糙。在这个木马控制的界面随便输入一个QQ号和密码，一按回车，登录框一闪不见（这时，你的QQ号和密码应该已经到了木马控制者的手中了）；如果事先在系统里安装了QQ2009（其它版本没有试，估计一样的效果），木马会替换桌面上快捷方式的指向到假QQ上，当执行假QQ快捷方式，木马取得QQ帐号后会调用真的QQ来进行登录（估计是木马得手后调用真QQ并把帐号密码传给真QQ让你能正常登录QQ，不过，我没有用正确的号和密码来完成这个登录过程）。另外，打开那个“我的照片.scr”执行完木马种植过程，这个“我的照片.scr”文件会被木马删除。

上报木马
做点好事，避免更多的朋友上当。我把病毒样本报告给了360、卡巴斯基、瑞星、金山毒霸。还在VirSCAN.org提交了可疑文件：我的照片.scr，他们扫描的结果是： 39%的杀软(15/38)报告发现病毒 时间 : 2009/06/12 01:06:24 (CST)。详细报告页面是： http://virscan.org/report/805588e2b252c01689bac0750ca5cc29.html 。他们也应该会把扫描结果送到相关杀毒软件厂商。我想，上报木马有两个作用，一方面避免木马扩散，另一方面，这对木马控制者也有好处，可以让他少作恶，以免在犯罪的道路上越走越远，最后悔之晚矣。

查杀木马
因为刚开始时，不知道这个木马的危害程度，我给朋友的建议是：断网，卸载QQ，删除木马文件（先是查找删除那个QQ2009.exe，后来发现那个hui.exe也应该删除，朋友病毒文件的位置和我试验的位置不一样，如我的在D: 盘，而他的在C: 盘的一个目录中，据他讲，那个目录里全是病毒相关的文件。另外，我用f-prot扫描在C: 盘里面有个名为"jcguanbi[1].txt"的文本文件也是病毒文件。），然后是修改QQ密码，因为我是用F-prot查到这个木马病毒的，所以然后是下载、安装、更新F-prot for windows 家庭版杀毒软件（F-prot for windows 家庭版可以免费试用1个月（需取得试用注册码），F-prot for Linux 家庭版免费使用没有时间限制），然后用更新了病毒库的f-prot进行全盘杀毒。另外，据我以前使用F-prot的经验，也许这个杀毒软件的灵敏度比较高，它曾经把我老版本的QQ相关文件（有TSEngine.DAT和另一个我忘了名字的文件）认作是病毒之类的东西。不过，QQ2009版本没有发现这个问题。我也没有经常使用这种杀毒软件，所以，你看了我这篇日记后在试用这个杀毒软件时你认为重要的文件被它干掉了，本人概不负责。我认为数据安全最重要的一点就是备份，所以，无论你使用这款杀毒或是在平时，我都建议你对重要的数据经常备份到安全的地方，如：移动硬盘，光盘，比较稳定的网盘等等。

感叹一下QQ木马
感叹一下“人为财死，鸟为食亡”，这是现在QQ木马层出不穷的根本原因，但是，别忘了还有一句话:"君子爱财，取之有道"。能够制造这些木马的朋友实际上都是计算机的高手，完全可以以正当的技术实现自己的理想和抱负。天网恢恢，疏而不漏。何必来冒这些险呢。比如：那位狂盗五百QQ号 超级“黑客”成都落网的家伙－犯罪嫌疑人朱×军涉嫌破坏计算机信息系统罪已被南山警方刑事拘留，犯罪嫌疑人袁某涉嫌非法侵入计算机信息系统罪也被刑事拘留。随后，南山区检察院以“盗窃罪”批捕了朱×军和袁某。
感叹一下杀毒软件的不容易，病毒实际上与正常程序的界线很模糊，界定的标准是对人、对系统是否造成伤害。我想，一个有初步编程知识的人应该也可以写一段代码格掉你的硬盘或者让你的CPU占用永远100％等等，杀毒软件怎么去判断呢？所以，一些知名的杀毒软件出现的误杀和漏报现象也就不足为奇了。
再是赞叹一下VirSCAN.org的创建者，你们为沟通杀毒软件之间互通杀毒引擎、为避免更多的朋友受到病毒的伤害作出了令人尊敬的事业。祝你们的事业越走越好。
再是感叹一下社会道德低下大环境对青少年的毒害，我猜测这些木马的制作者应该是一些二十岁左右的IT小青年，在物欲横流、道德沦丧的今天，我们怎么教育青少年我们应该追求什么，我们应该看重什么，我们应该怎样实现人生的价值？侄女目睹高考考场猖獗的作弊现象，下考场后气愤不已：不公平，太不公平了......。高考作弊猖獗的原因非常复杂，有高考合理性的置疑，有教育者的经济利益和地区的荣誉，有灰暗的经济生态圈等等。可能教育专家分析得更好。问题是，我们怎样回答孩子的置疑？把社会所有的丑恶都告诉她，然后说，你也作弊吧，考上重点对你有好处；或者，给她讲大道理，给她讲南郭先生“滥竽充数”，欺骗不能长久，老实人终会出头，问题，仔细想想自己身边的事，你能说服自己吗？我现在就说不服自己。

一个小小的QQ木马，引出我太多的沉重思考。谁能解答我的疑惑？