病毒主要特徵
這種病毒並不是利用QQ本身的漏洞 進行傳播。它其實是在某個網站首頁上嵌入了一段惡意代碼,利用IE的iFrame系統漏洞自動運行惡意木馬程序,從而達到侵入用戶系統,進而借助QQ進行垃圾信息發送的目的。用戶系統如果沒安裝漏洞補丁或沒把IE升級到最高版本,那麼訪問這些網站的時候其訪問的網頁中嵌入的惡意代碼即被運行,就會緊接著通過IE的漏洞運行一個木馬程序進駐用戶機器。然後在用戶使用QQ向好友發送信息的時候,該木馬程序會自動在發送的消息末尾插入一段廣告詞,通常都是以下幾句中的一種。
QQ收到信息如下:
1. HoHo~~ www.mm**.com剛才朋友給我發來的這個東東。你不看看就後悔哦,嘿嘿。也給你的朋友吧。
2. 呵呵,其實我覺得這個網站真的不錯,你看看www.ktv***.com/>www.ktv***.com/">www.ktv***.com/
3. 想不想來點搖滾粗口舞曲,中華 DJ 第一站,網址告訴你www.qq33**.com.。不要告訴別人 ~ 哈哈,真正算得上是國內最棒的 DJ 站點。
4. http//www.hao***.com 幫忙看看這個網站打不打的開。
5. ni***.126.com>ni***.126.com/">ni***.126.com 看看啊. 我最近照的照片~ 才掃瞄到網上的。看看我是不是變了樣?
清除方法
1.在運行中輸入MSconfig,如果啟動項中有「Sendmess.exe」和「wwwo.exe」這兩個選項,將其禁止。在C:\WINDOWS一個叫qq32.INI的文件,文件裡面是附在QQ後的那幾句廣告詞,將其刪除。轉到DOS下再將「Sendmess.exe」和「wwwo.exe」這兩個文件刪除。
2.安裝系統漏洞補丁
由病毒的播方式我們知道,「QQ尾巴」這種木馬病毒是利用IE的iFrame傳播的,即使不執行病毒文件,病毒依然可以借由漏洞自動執行,達到感染的目的。因此應該敢快下載IE的iFrame漏洞補丁。
iFrame漏洞補丁地址
QQ「緣」病毒
病毒特徵:
該病毒用VB語言編寫,採用ASPack壓縮,利用QQ消息傳播。運行後會將IE默認首頁改變為:HTTP://WWW.**115.COM/,如果你發現自己的IE首頁被修改成以上網址,就是被該病毒感染了。
病毒會利用QQ發送例如「今天在網上下了本電子書,書名叫《緣》,寫得不錯,而且書的作者的名字很巧…………點擊下面這個地址可以下載這本書」;「1937年12月13日,300000南京人民被侵華日軍集體大屠殺!!!所有的中國人都不應忘記這個日子,從始至終日本人都沒有改變它們的野心!中華兒女要團結自強牢記歷史,我們要時刻警惕日本人的野心,釣魚島是中國的領土!!!台灣是中國不可分割的一部份!!!請你將此消息發給你QQ上的好友!」等消息,消息裡的鏈接是病毒網址。
清除方法:
使用了下面的辦法將其徹底刪除。
找到下列文件:
C:\windows\system\noteped.exe
C:\windows\system\Taskmgr.exe
C:\Windows\noteped.exe
C:\Windwos\system32\noteped.exe
刪除掉:其中Taskmgr.exe 要先打開"window 任務管理器",選中進程"Taskmgr.exe",殺掉
注意:有兩個名字叫"Taskmgr.exe"進程,一個是QQ病毒,一個是你剛才打開的"Window 認為管理器"
然後到註冊表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"
找到"Taskmgr" 刪除
如果你還不明白那請你先找到那幾個文件,然後再按下面步驟操作:
1.在任務欄上點擊鼠標右鍵,選擇任務管理器
2.選擇進程裡的Taskmgr.exe,但我後來又測試也進行名稱不一定是大寫的,也有可能是小寫,一般排在上面的一個是。
3.點擊開始-運行,輸入Regedit進入註冊表
4.在註冊表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,將Taskmgr"項刪除"。
刪除後重啟計算機,《緣》QQ病毒宣佈徹底刪除。
另外提醒大家,盡快更新你的IE到IE6 SP1 這樣可以減少很多的IE被改機會。
近來網上出現一種叫做「QQ尾巴」的木馬病毒。該病毒會偷偷藏在你的系統中,當你在使用QQ的時候,它會自動尋找QQ窗口,給在線上的QQ好友發送諸如「剛剛朋友給我發來的這個東東。你不看看要後悔哦--」之類的假消息,如果有人信以為真點擊該鏈接的話,將會感染上病毒,並且成為病 四、「武漢男生」病毒
病毒特性:
此病毒是「武漢男生」的一系列新變種,病毒發作後會利用QQ聊天工具進行傳播,定時給QQ網友發送包含網址的信息來誘使用戶點擊,該網頁利用了IE的Object Data漏洞下載並運行病毒本身,該漏洞是由HTML中OBJECT的DATA標籤引起的。對於DATA所標記的URL,IE會根據服務器返回的HTTP頭來處理數據。如果HTTP頭中返回的URL類型Content-Type是Application/hta,那麼該URL指定的文件就能夠執行,無論IE設置的安全級別有多高。
該變種較明顯的特點是,病毒運行後,除定時發給QQ網友同樣的網址外還會趁機盜取「傳奇」遊戲的帳戶、密碼以及其他信息,並以郵件形式發給盜密碼者,還會結束多種反病毒軟件,以保護自身不被清除。
(1)如果點擊病毒網頁,將會顯示美女圖片,而同時彈出一個標題為「asp空間」的不可見窗口。此網頁利用IE漏洞,下載並運行leoexe.gif和leo.asp文件,其中leoexe.gif並不是圖像文件,而是exe類型的病毒體,leo.asp是病毒釋放器;
(2)病毒一旦運行,將結束大部分殺毒軟件、防火牆以及某些病毒專殺工具;
(3)每隔一段時間給QQ網友發送信息
(4)病毒運行後會複製自身到系統目錄下,文件名是updater.exe、Systary.exe、sysnot.exe,並在註冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加:
「windows update」 = 「%安裝目錄%\system\updater.exe」 %安裝目錄% 是Windows 系統的安裝目錄,在不同系統下該目標表現可能不同,可能的有:c:\windows;c:\winnt 等。
(5)修改文本文件(*.txt)關聯和可執行文件關聯,直接指向病毒本身,如果用戶運行任意的txt文件和exe文件都會激活病毒。
(6)病毒會在計算機中搜索傳奇遊戲的帳戶、密碼以及其他信息,發送到指定的E-Mail信箱。
清除病毒
1、刪除病毒在系統目錄下釋放的病毒文件
2、刪除病毒在註冊表下生成的鍵值
3、運行殺毒軟件,對病毒進行全面清除
「愛情森林」病毒
(一)病毒特徵
該木馬程序原始文件名為hack.exe,用Delphi編寫,並用UPX進行了壓縮。木馬程序被運行後會:
1、複製自身到Windows操作系統的system目錄(通常為windowssystem)下,並改名為Explorer.exe。由於它和Windows目錄下的Explorer文件同名,因此會迷惑用戶,使用戶誤認為這是一個正常的系統文件。
2、修改註冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer.exe",使木馬程序可以在開機後自動運行。(其中%windowssystem%為Windows的系統目錄)
3、該木馬程序還會在站點orchid.diy.163.com/下載文件update.exe,並執行下載下來的程序,進行其它的破壞活動。
清除方法
(1)先打開任務管理器,結束掉位於下面的那個Explorer進程,然後刪除系統目錄下的木馬程序Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程序。
(2)打開註冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。
(二)變種一病毒特徵
該病毒運行後會:
1、複製兩個自己的拷貝到Windows的系統目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下,並分別更名為rundll.exe和sysedit32.exe。
2、修改註冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe",使木馬程序在開機後自動運行(其中%windowssystem%為Windows的系統目錄)。
3、修改註冊表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe,關聯記事本,使用戶打開txt文件時木馬程序能獲得運行機會。
4、該木馬會通過QQ程序向其它的QQ用戶發送「sckiss.yeah.net,你快去看看」的消息,誘導用戶瀏覽含有惡意代碼的網頁。
5、該木馬還會嘗試盜取QQ用戶的密碼並將其發送至指定的郵箱。有趣的是,由於病毒作者使用了一個組件來發送郵件,因此當木馬程序執行發送郵件的操作時,該組件可能會彈出兩個對話框,其中一個的內容為「220 welcom to coremail system(With Anti-Spam) 2.1」,另外一個對話框為「Cannot open file .mima.txt」。
清除方法
(1)打開任務管理器,結束掉RUNDLL和SYSEDIT32進程。
(2)刪除系統文件夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的文件(文件大小為1781752字節)。
(3)打開註冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.exe"的鍵值。恢復HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統文件夾)
(4)若根目錄下存在文件setup.txt或mima.txt,將其刪除。
(三)變種二病毒特徵
該木馬程序被包裝在一個名為s.eml的郵件中,並且利用了Iframe漏洞。當沒有打補丁的用戶瀏覽含有該郵件的網頁時,郵件中的木馬程序(Hack.exe)就會自動運行。
木馬程序被運行後會:
1、複製自身到Windows系統目錄(通常為windowssystem)下,改名為Explorer.exe。由於它和Windows目錄下的Explorer文件同名,因此會使用戶誤認為這是一個正常的系統文件。
2、修改註冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Intarnet="%windowssystem%Explorer.exe",使木馬程序可以在開機後自動運行。(其中%windowssystem%為Windows的系統目錄)
3、該木馬程序會通過QQ的「發送消息」窗口給QQ用戶的網友發送如下信息「ajim.delphibbs.com去看看,很好看的」,當用戶點擊該網址瀏覽時,木馬程序就會被再次激活,從而使該木馬通過QQ聊天工具不斷地傳播自己。
清除方法:
(1)打開任務管理器,結束掉位於下面的那個Explorer進程,然後刪除系統目錄下的木馬程序Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程序。
(2)打開註冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。
(四)變種三病毒特徵
該病毒運行後會:
1、複製兩個自己的拷貝到Windows的系統目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下,並分別更名為rundll.exe和sysedit32.exe。
2、修改註冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe",使木馬程序在開機後自動運行(其中%windowssystem%為Windows的系統目錄)。
3、修改註冊表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe,關聯記事本,使用戶打開txt文件時木馬程序能獲得運行機會。
4、修改註冊表,修改IE瀏覽器的默認頁,開始頁,起始頁。
5、該木馬會通過QQ程序向其它的QQ用戶發送「ontimer.spedia.net,你快去看看」的消息,誘導用戶瀏覽含有惡意代碼的網頁。
6、該木馬還會嘗試盜取QQ用戶的密碼並將其發送至指定的郵箱。
清除方法:
(1)打開任務管理器,結束掉RUNDLL和SYSEDIT32進程。
(2)刪除系統文件夾(Win9x通常為Windows\system,WinNt通常為WinNt\system32)下名為RUNDLL.exe和sysedit32.exe的文件(文件大小為1781752字節)。
(3)打開註冊表編輯器,刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名為intarnet=%windowssystem%\rundll.exe"的鍵值。恢復HKEY_CLASSES_ROOT\txtfile\shell\open\command的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統文件夾)
(4)恢復IE的設置。打開註冊表編輯器,恢復HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page,HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL,HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page的設置為原來的內容。
(五)變種四病毒特徵
該木馬程序用Delphi編寫,並用UPX進行了壓縮,但該程序需要用戶的機器上安裝了Delphi的動態庫才能運行。該程序具有同「愛情森林」的第一個版本相同的特徵,因此極有可能是病毒作者對「愛情森林」的第一個版本重新編譯後生成的。木馬程序被運行後會:
1、複製自身到Windows操作系統的system目錄(通常為windowssystem)下,並改名為Explorer.exe。由於它和Windows目錄下的Explorer文件同名,因此會迷惑用戶,使用戶誤認為這是一個正常的系統文件。
2、修改註冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer.exe",使木馬程序可以在開機後自動運行。(其中%windowssystem%為Windows的系統目錄)
3、該木馬程序還會在站點orchid.diy.163.com/下載文件update.exe,並執行下載下來的程序,進行其它的破壞活動。
清除方法
(1)先打開任務管理器,結束掉位於下面的那個Explorer進程,然後刪除系統目錄下的木馬程序Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程序。
(2)打開註冊表編輯器,刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名為Explorer的鍵值
「QQ女友」病毒
病毒特徵:
利用QQ發送誘惑信息,導致用戶上當。病毒發送一些誘惑新的文字和鏈接給在線的好友,致使不明真相的用戶上當。
1.複製自己到系統目錄:
%SYSDIR%\internet.exe
%SYSDIR%\svch0st.exe
2.修改如下註冊表鍵值病毒自啟動的伎倆>:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Network Associates, Inc." = "INTERNET.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"
3.病毒運行後將建立一個HTTP服務器,監聽TCP端口20808
該功能將響應遠程的下載請求,將本地的病毒文件複製到遠程機器。
4.病毒搜索QQ聊天軟件,向在線的好友發送誘惑信息,內容如下:
「你是那樣地美,美得像一首抒情詩。你全身充溢著少女的純情和青春的風采。
留給我印象最深的是你那雙湖水般清澈的眸子,以及長長的、一閃一閃的睫毛。
像是探詢,像是關切,像是問候。
這是你需要的東西:
下載地址1
*.*.*.*::20808//%DRIVE%c:\filename.exe
下載地址2
*.*.*.*::20808//%DRIVE%c:\filename.exe」
上面的內容頭部也可能為下列之一:
其實,我最先認識你是在照片上。照片上的你托腮凝眸,若有所思。那份溫柔、那份美感、那份嫵媚,使我久久難以忘懷
遠遠地,我目送你的背影,你那用一束大紅色綢帶紮在腦後的黑髮,宛如幽靜的月夜裡從山澗中傾瀉下來的一壁瀑布。
你蹦蹦跳跳地走進來,一件紅尼大衣,緊束著腰帶,顯得那麼輕盈,那麼矯健,簡直就像天邊飄來一朵紅雲。
你笑起來的樣子最為動人,兩片薄薄的嘴唇在笑,長長的眼睛在笑
春花秋月,是詩人們歌頌的情景,可是我對於它,卻感到十分平凡。只有你嵌著梨渦的笑容,才是我眼中最美的偶像。
你其有點像天上的月亮,也像那閃爍的星星,可惜我不是詩人,否則,當寫一萬首詩來形容你的美麗。
你是一尊象牙雕刻的女神,大方、端莊、溫柔、姻靜,無一不使男人深深崇拜。 在風吹乾你的散發時,我簡直著魔了:在閃閃發光的披肩柔髮中,在淡淡入鬢的蛾眉問,在碧水漓漓的眼睛裡……你竟是如此美麗可人!
你是花叢中的蝴蝶,是百合花中的蓓蕾。無論什麼衣服穿到你的身上,總是那麼端莊、好看。
你那瓜子形的形(編者註:該字疑為病毒作者筆誤),那麼白淨,彎彎的一雙眉毛,那麼修長;水汪汪的一對眼睛,那麼明亮!
其中*.*.*.*為本機地址,%filename%為下列之一:
"c:\setup.exe"
"c:\hello.exe"
"c:\flash.com"
"c:\123456.exe"
"c:\pass.exe"
"c:\game.exe"
"c:\my_photo.exe"
"c:\update.exe"
"c:\mp3.exe"
"c:\666666.exe"
這些都是病毒本身。
5.鑒於該病毒的特殊性,尤其是女性的使用QQ的用戶,請看到上述信息時請不要上當。
清除方法
(1)打開任務管理器查看是否存在進程名為: INTERNET.EXE或SVCH0ST.EXE,終止它
(2)打開註冊表編輯器,刪除如下鍵值<如果存在的話>:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"Network Associates, Inc." = "INTERNET.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"
(3)將%WINSYS%目錄下的文件: SVCH0ST.EXE和SVCH0ST.EXE刪除
注:%WINSYS%位Windows系統的安裝目錄,在win9x,winme,winxp下默認為:C:\WINDOWS\SYSTEM,win2k下默認為:C:\WINNT\SYSTEM32。