致命代码克死QQ[资料整理]

How

作者：布棉人  来源：PConline  

??近日，不少网友向我们报告，说QQ和一些即时通软件经常出现“非法操作”，而让QQ等软件死掉的情况，具体现象为，当收到某一个好友发过来的一段代码的时候，自己的QQ就出现非法操作的提示，然后就必须重启QQ，才能正常使用。

??根据网友提供的代码，PConline进行了测试，确实有这样的情况发生，而且危害性非常大，如果不尽快找出解决方法，可能会让用户不方便。







                             网友报料，QQ经常被朋友发过来的代码弄死




??据网友反映，这个漏洞可能是利用riched20.dll文件中存在的一个缓冲区溢出漏洞，该漏洞会导致正在使用此模块的程序出现非法操作。而据称，该漏洞除了会造成对方死机外，还不会出现其他有害个人信息的情况。

??如下图这段经过验证，可以造成对方QQ死掉的代码（由于其损害程度很大，所以我们部分代码进行了马赛克处理）



                    就是这段代码，让即时通软件经常“死掉”




据一些高手介绍，这段代码中，\fs 是用来设置文字的字体大小的，当其对文档中属性标示中的数字（如字体大小）等处理不当，字体大小数字串长度超过32字节时，就会引发缓冲区溢出，当超过34字节以后就有可能会导致应用程序出现非法操作。

??根据我们测试，目前Windows 98、2000和XP操作系统下都会出现这样的情况。对方可以给你发送一个包含利用漏洞的攻击消息，那你的QQ在查看对方的消息时会立即出现非法操作而“死掉”。而在QQ版本方面，在QQ2000c 0825 版本以后的都会受影响，而0630版的就有部分会受影响。







注意上面两幅图的代码，最后一段，虽然不同，但是功效一样



在民间，已经有高手分析了其发生的现象，并提出了解决的办法，做成补丁文件供网友下载。换掉该文件后，别人发这种代码过来的话，看到的是空白的聊天信息。

                                        空白聊天信息



??另外也有个比较容易的方法，就是如果你有装office xp的话，可以把office xp目录下的riched20.dll文件复制到腾讯QQ目录下，替换原来的文件就可以了。而最新消息，腾讯网站也提供新版本下载，但是没有独立的补丁下载，看来不想重装QQ的网友，还是搞个几百k的补丁更好。

??看来这次官方的反映实在太慢，一直到今天都还没有解决的办法出来。而昨晚，不断有网友称自己的QQ被炸，让小企鹅变成了死乌鸦。但是在民间，一些软件高手却迅速找到了相关的解决办法，的确让网友敬佩。希望以后软件商能够快点公布相关的漏洞信息，让网民及时打好补丁就好了。

??请赶快下载该补丁，而轻松让自己的QQ避过攻击，另外我们也忠告广大网友，该漏洞具体情况未明，是否对系统、对个人信息有否伤害还不清楚，大家不要恶作剧地攻击你的网友，不然的话影响了自己的形象而被拉入黑名单，错失了上网Q MM的机会就不好了，而且这样做对自己也没有好处。

[此贴子已经被作者于2003-2-27 21:36:53编辑过]

How

本超版就真真切切地遭受过此代码的迫害！

一次一个朋友发来消息，一看是段代码一样的东西，想问问是怎么回事，刚点击“回复”，QQ就自动退出了！由于最近系统不太好，也没在意。就又打开了QQ，点击“对话模式 ”，因为这样可以看到刚才的聊天记录。刚一显示出那些代码，QQ就又自动退出了。这下我觉得是有点问题了，怀疑是攻击QQ的代码。现在看来我的猜测是正确的。

我的QQ是0825版的，不带安全补丁。tencent最新的版本是0825patch，加入了安全补丁了。大家可以下载。如果觉得太麻烦，现在可以下载非官方版补丁       点击下载      

其实上面已经留下下载链接了。只是颜色不好区分。现在再留一个，供大家下载！

哈哈。我可是有好用的攻击代码哦。要是看谁不顺眼，就……  嘿，嘿，嘿嘿嘿

[此贴子已经被作者于2003-2-27 21:38:20编辑过]

How

刚做了实验！不更新riched20.dll文件，就是不行！连打算从聊天记录看攻击代码都不行！一点击那条聊天记录QQ就自动退出！

我想了个办法可算搞到原攻击代码了！一个伙计主动要求给他试试。我发给他快半小时了，他还没上来！哈哈

注意，如果你用旧的文件，那么在发送时，对方出问题，你也会同时出问题！但是如果用新文件覆盖旧文件，就不会有这个问题了。如果在对话模式下，发送出去后，只会看到自己发了一片空白！

因为这个现象，如果你用新文件，再想去聊天记录找攻击代码，就不好用了。那条记录就会只显示一片空白！

How

因为发现前面提供的防攻击补丁存在一些不足，所以这几日笔者下载了tencent的0825patch版，用以研究。发现新版的已经没有了任何问题！不会出现“对话模式”中两人谈话记录挤在一起的情况了。而且使用旧补丁，无论是接受还是发送攻击代码，或者是在聊天记录中，都会显示一片空白，没有任何内容。0825patch没有这种情况了。它可以很清楚地看到攻击代码！所以…… 嘿嘿嘿

有点扯远了。所以推荐下载0825patch，升级自己的QQ！可是有人会觉得麻烦，而且以前的QQ是带显ip补丁的，重装新QQ就不可显ip了！没关系！笔者已经把0825patch的补丁分离出来，传上本坛，供大家下载了！考虑到有人是第一次看本帖，笔者也把前面两次的下载链接一并改为新的补丁！

新补丁点击下载

下载完毕，请先退出QQ，然后将文件解压缩至QQ的安装目录下。会提示是否覆盖已有的riched20.dll文件，选择是即可。然后再打开QQ，就不怕攻击了！

How

在使用了防攻击补丁文件后，发现它存在一些不足。最大问题是在“对话模式”中，两人的对话记录会挤在一起！不是很正规地分行显示了。还有，无论是接受还是发送攻击代码，或者是在聊天记录中查看攻击代码，都会出现一片空白，没有任何内容。所以这几日笔者下载了tencent的0825patch版，用以研究。发现新版的已经没有了任何问题，以上两个不足也解决得很好。

心想：用新版QQ中的riched20.dll文件覆盖旧版的不就可以解决问题了吗？提取，覆盖，打开旧版的QQ，可是在查看聊天记录中的代码时，QQ还是自动退出了！看来，新版的QQ不是简单地通过升级riched20.dll文件来解决这个问题的。没办法，只好挨个文件试。一个文件一个文件地覆盖，开QQ，看聊天记录，自动退出…… 直到最后把程序文件QQ.exe文件覆盖过去，才一切正常！前面的两个问题也没有出现。看来，腾讯是采用更改主程序文件来解决漏洞问题的。

因为QQ.exe文件比较大，压缩成.rar的格式，还有1M多，不适合上传到论坛。所以目前看来，最好的方法还是下载腾讯的0825patch版，重装QQ。这样，安全性和可用性都可以保证了。如果想研究，还可以从聊天记录中查看攻击代码。上面的帖子提供的下载链接为旧版的补丁文件，虽然可以防攻击，但是还是有点小bug。大家可以根据自己的情况，选择使用哪种办法解决。

888888888888

哦~~！原来是这样呀。