「QQ尾巴」查殺
「QQ尾巴」是利用Windows系統下Internet Explorer的iFrame系統漏洞自動運行的一種惡意木馬程序。該木馬病毒會偷偷潛藏在用戶的系統中,發作時會尋找QQ窗口並給在線QQ好友發送諸如「有我的照片」、「這是一個很不錯的網站」或「快去這看看,裡面有蠻好的東西」之類的假消息,誘惑用戶點擊一個網站,如果有人信以為真點擊該鏈接的話,就會被病毒感染,然後成為毒源,繼續傳播。
「QQ尾巴」會自動在發送的消息末尾插入一段廣告詞,通常都是以下幾句中的一種。
QQ收到信息如下:
1. HoHo~~ http://www.mm**.com剛才朋友給我發來的這個東東。你不看看就後悔哦,嘿嘿。也給你的朋友吧。
2. 呵呵,其實我覺得這個網站真的不錯,你看看http://www.ktv***.com/
3. 想不想來點搖滾粗口舞曲,中華 DJ 第一站,網址告訴你http://www.qq33**.com.。不要告訴別人 ~ 哈哈,真正算得上是國內最棒的 DJ 站點。
4. http//www.hao***.com 幫忙看看這個網站打不打的開。
5. http://ni***.126.com 看看啊. 我最近照的照片~ 才掃瞄到網上的。看看我是不是變了樣?
1。利用WINDOWS「查找」功能
用戶從開始菜單中選擇「查找→文件或文件夾」並打開系統「查找」對話框:
步驟一:切換到「名稱與位置」選項卡,在「名稱」和「包含文字」框中輸入QQ那段「虛假消息」的文字,如一段網址或「一個很不錯的網站」等,將「搜索」範圍指定到C:\WINDOWS\並選中「包含子文件夾」選項。
步驟二:切換到「日期」選項卡,選中「查找所有文件」選項並在其右側下拉菜單列表中選擇「創建時間」,在「介於×年×月×日和×年×月×日」選項中選擇發現QQ發生異常的上一個可以正常聊天的日期,當然也可以是瀏覽過QQ信息中虛假網址的當天。
步驟三:進行完上述所有設置後,單擊「查找」,Windows查找工具會分別在C:\WINDOWS\文件夾中找到一個名為Sendmess的應用程序和C:\WINDOWS\TEMP\文件夾中找到一個名為Younv的應用程序,用戶在安全模式下將它們進行清除一下即可完成「QQ尾巴」木馬病毒的查殺。
2.安裝系統漏洞補丁
由病毒的播方式我們知道,「QQ尾巴」這種木馬病毒是利用IE的iFrame傳播的,即使不執行病毒文件,病毒依然可以借由漏洞自動執行,達到感染的目的。因此應該敢快下載IE的iFrame漏洞補丁。
「武漢男生」木馬病毒
該病毒通過聊天軟件Oicq進行傳播。當計算機被該病毒感染後,用戶一旦運行了QQ,病毒就會不斷搜尋當前已經打開的QQ"發送消息"窗口,並在找到"發送消息"窗口後,自動發送一條消息到其他用戶那裡,"我的相片..看看..(某網站網址)",一旦收到此消息的得用戶點擊了該網站的鏈接,就遭受了病毒的感染。
病毒運行後在系統目錄下生成三個病毒文件,分別為ABCHELP.EXE,WINhelp32.exe和DirectX.exe,其中後2個文件的屬性是隱含的。(系統目錄在Windows 9x/Me下為C:WindowsSystem,在Windows NT/2000下為 C:WINNTSystem32,在Windows XP下為 C:WindowsSystem32)
病毒修改註冊表,使病毒能隨系統啟動而自動運行。
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.exe"
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成(default)= "abchelp.exe"
廣大用戶應及時升級殺毒軟件,啟動"實時監控"系統,在使用OICQ聊天時也要留意,不要輕易打開任何鏈接,以免遭受病毒的感染。
清除病毒的相關操作
1、刪除病毒在系統目錄下釋放的病毒文件
2、刪除病毒在註冊表下生成的鍵值
3、運行殺毒軟件,對病毒進行全面清除
防範病毒使用殺毒軟件有五大禁忌
(一)忌偷懶不升級
(二)忌忽略對郵件的保護
(三)忌疏忽設置各項功能
(四)忌輕信網絡的安全性
(五)忌輕視數據備份
QQ「緣」病毒
病毒特徵:
該病毒用VB語言編寫,採用ASPack壓縮,利用QQ消息傳播。運行後會將IE默認首頁改變為:HTTP://WWW.**115.COM/,如果你發現自己的IE首頁被修改成以上網址,就是被該病毒感染了。
病毒會利用QQ發送例如「今天在網上下了本電子書,書名叫《緣》,寫得不錯,而且書的作者的名字很巧…………點擊下面這個地址可以下載這本書」;「1937年12月13日,300000南京人民被侵華日軍集體大屠殺!!!所有的中國人都不應忘記這個日子,從始至終日本人都沒有改變它們的野心!中華兒女要團結自強牢記歷史,我們要時刻警惕日本人的野心,釣魚島是中國的領土!!!台灣是中國不可分割的一部份!!!請你將此消息發給你QQ上的好友!」等消息,消息裡的鏈接是病毒網址。
清除方法:
使用了下面的辦法將其徹底刪除。
找到下列文件:
C:\windows\system\noteped.exe
C:\windows\system\Taskmgr.exe
C:\Windows\noteped.exe
C:\Windwos\system32\noteped.exe
刪除掉:其中Taskmgr.exe 要先打開"window 任務管理器",選中進程"Taskmgr.exe",殺掉
注意:有兩個名字叫"Taskmgr.exe"進程,一個是QQ病毒,一個是你剛才打開的"Window 認為管理器"
然後到註冊表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"
找到"Taskmgr" 刪除
如果你還不明白那請你先找到那幾個文件,然後再按下面步驟操作:
1.在任務欄上點擊鼠標右鍵,選擇任務管理器
2.選擇進程裡的Taskmgr.exe,但我後來又測試也進行名稱不一定是大寫的,也有可能是小寫,一般排在上面的一個是。
3.點擊開始-運行,輸入Regedit進入註冊表
4.在註冊表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,將Taskmgr"項刪除"。
刪除後重啟計算機,《緣》QQ病毒宣佈徹底刪除。
另外提醒大家,盡快更新你的IE到IE6 SP1 這樣可以減少很多的IE被改機會。
「愛情森林」病毒
病毒特徵:
該木馬程序原始文件名為hack.exe,用Delphi編寫,並用UPX進行了壓縮。木馬程序被運行後會:
1、複製自身到Windows操作系統的system目錄(通常為windowssystem)下,並改名為Explorer.exe。由於它和Windows目錄下的Explorer文件同名,因此會迷惑用戶,使用戶誤認為這是一個正常的系統文件。
2、修改註冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer.exe",使木馬程序可以在開機後自動運行。(其中%windowssystem%為Windows的系統目錄)
3、該木馬程序還會在站點http://orchid.diy.163.com/下載文件update.exe,並執行下載下來的程序,進行其它的破壞活動。
清除方法
(1)先打開任務管理器,結束掉位於下面的那個Explorer進程,然後刪除系統目錄下的木馬程序Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程序。
(2)打開註冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。
變種第一病毒特徵:
該病毒運行後會:
1、複製兩個自己的拷貝到Windows的系統目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下,並分別更名為rundll.exe和sysedit32.exe。
2、修改註冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe",使木馬程序在開機後自動運行(其中%windowssystem%為Windows的系統目錄)。
3、修改註冊表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe,關聯記事本,使用戶打開txt文件時木馬程序能獲得運行機會。
4、該木馬會通過QQ程序向其它的QQ用戶發送「http://sckiss.yeah.net,你快去看看」的消息,誘導用戶瀏覽含有惡意代碼的網頁。
5、該木馬還會嘗試盜取QQ用戶的密碼並將其發送至指定的郵箱。有趣的是,由於病毒作者使用了一個組件來發送郵件,因此當木馬程序執行發送郵件的操作時,該組件可能會彈出兩個對話框,其中一個的內容為「220 welcom to coremail system(With Anti-Spam) 2.1」,另外一個對話框為「Cannot open file .mima.txt」。
清除方法
(1)打開任務管理器,結束掉RUNDLL和SYSEDIT32進程。
(2)刪除系統文件夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的文件(文件大小為1781752字節)。
(3)打開註冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.exe\"的鍵值。恢復HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統文件夾)
(4)若根目錄下存在文件setup.txt或mima.txt,將其刪除。
變種第二病毒特徵
該木馬程序被包裝在一個名為s.eml的郵件中,並且利用了Iframe漏洞。當沒有打補丁的用戶瀏覽含有該郵件的網頁時,郵件中的木馬程序(Hack.exe)就會自動運行。
木馬程序被運行後會:
1、複製自身到Windows系統目錄(通常為windowssystem)下,改名為Explorer.exe。由於它和Windows目錄下的Explorer文件同名,因此會使用戶誤認為這是一個正常的系統文件。
2、修改註冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Intarnet="%windowssystem%Explorer.exe",使木馬程序可以在開機後自動運行。(其中%windowssystem%為Windows的系統目錄)
3、該木馬程序會通過QQ的「發送消息」窗口給QQ用戶的網友發送如下信息「http://ajim.delphibbs.com去看看,很好看的」,當用戶點擊該網址瀏覽時,木馬程序就會被再次激活,從而使該木馬通過QQ聊天工具不斷地傳播自己。
清除方法:
(1)打開任務管理器,結束掉位於下面的那個Explorer進程,然後刪除系統目錄下的木馬程序Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程序。
(2)打開註冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。
變種第三病毒特徵
該病毒運行後會:
1、複製兩個自己的拷貝到Windows的系統目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下,並分別更名為rundll.exe和sysedit32.exe。
2、修改註冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe",使木馬程序在開機後自動運行(其中%windowssystem%為Windows的系統目錄)。
3、修改註冊表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe,關聯記事本,使用戶打開txt文件時木馬程序能獲得運行機會。
4、修改註冊表,修改IE瀏覽器的默認頁,開始頁,起始頁。
5、該木馬會通過QQ程序向其它的QQ用戶發送「http://ontimer.spedia.net,你快去看看」的消息,誘導用戶瀏覽含有惡意代碼的網頁。
6、該木馬還會嘗試盜取QQ用戶的密碼並將其發送至指定的郵箱。
清除方法:
(1)打開任務管理器,結束掉RUNDLL和SYSEDIT32進程。
(2)刪除系統文件夾(Win9x通常為Windows\\system,WinNt通常為WinNt\\system32)下名為RUNDLL.exe和sysedit32.exe的文件(文件大小為1781752字節)。
(3)打開註冊表編輯器,刪除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名為intarnet=%windowssystem%\\rundll.exe\"的鍵值。恢復HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統文件夾)
(4)恢復IE的設置。打開註冊表編輯器,恢復HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page的設置為原來的內容。
變種第四病毒特徵
該木馬程序用Delphi編寫,並用UPX進行了壓縮,但該程序需要用戶的機器上安裝了Delphi的動態庫才能運行。該程序具有同「愛情森林」的第一個版本相同的特徵,因此極有可能是病毒作者對「愛情森林」的第一個版本重新編譯後生成的。木馬程序被運行後會:
1、複製自身到Windows操作系統的system目錄(通常為windowssystem)下,並改名為Explorer.exe。由於它和Windows目錄下的Explorer文件同名,因此會迷惑用戶,使用戶誤認為這是一個正常的系統文件。
2、修改註冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer.exe",使木馬程序可以在開機後自動運行。(其中%windowssystem%為Windows的系統目錄)
3、該木馬程序還會在站點http://orchid.diy.163.com/下載文件update.exe,並執行下載下來的程序,進行其它的破壞活動。
清除方法
(1)先打開任務管理器,結束掉位於下面的那個Explorer進程,然後刪除系統目錄下的木馬程序Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程序。
(2)打開註冊表編輯器,刪除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名為Explorer的鍵值
「QQ炸彈」防護
一、拒絕消息「炸彈」
消息「炸彈」攻擊可能是「炸彈」攻擊中最常見的。它依靠在很短的時間間隔內發送大量信息來騷擾用戶。因為無論騰訊公司如何在QQ安全問題上進行改進,最終它所實現的主要還是點對點的聊天交流。如果騰訊公司在設計QQ時將兩次發送消息的時間間隔設置得太長 對於用戶正常的聊天就可能會造成影響.而如果太短,則消息」炸彈」就有了生存之地。因此從這個角度來說,只要能發消息 消息」炸彈」就不可能停止。話說回來,適當減少被消息「炸
彈」轟炸的方法還是有的,下面咱們就一起來看看。
1.原理分析
QQ消息「炸彈」原理其實比較簡單:當用戶切換到」聊天模式」時,QQ消息「炸彈「程序通過調用函數等方式搜索到QQ聊天窗體及文本窗體等程序句柄 然後控制其自動發送消息。由於發消息時間間隔很短,使人應接不暇,最終形成了「炸彈」,阻礙了QQ的正常使用。
2.快速防「彈」
由於QQ「炸彈」太多,騰訊公司也不得不考慮這些問題。因此在QQ 2004版本中發送消息的頻率需要有一定的間隔,否則QQ會友好地提示你「對不起,您說話太快了,坐下來,泡杯咖啡休息會吧」。然而「道高一尺 魔高一丈」,總有些惡意的騷擾者不斷地出現在你的陌生人名單中,不停地發消息」炸彈」騷擾你。針對這種人,我們可以這樣對付他:點擊「QQ菜單」一「系統設置」一「基本設置」在「綜合設置」裡勾選「拒絕陌生人消息」,這樣所有陌生人發的消息你都收取不到了,當然陌生人也就無從騷擾你了。而針對可能存在干你好友名單裡的騷擾者,大家可以這樣設置:打開該好友的資料,切換到「好友設置」。勾選「不接收該好友發過來的任何消息」這樣他就設法再「炸」你了。
不過對於「身份認證」這種消息「炸彈」,由於現在QQ身份認證機制的局限性,在理論上我們是沒辦法完全防止的。我們只能採取設置成「拒絕任何人加為好友」這種「殲敵一千,自損八百」的手段。更有效的防範方法,還要靠騰訊公司對QQ進行改進,我們只能期盼更新版的QQ早日到來了。
二、拒絕惡性「炸彈」
由干一般的「炸彈「防範措施比較簡單,所以大家只要按照上述方法一般都能避免受到攻擊。但其中也有一些後果比較嚴重的」炸彈」,可以將你的QQ炸得「血肉橫飛」。比如在QQ2000C、QQ2003和QQ2003II中發現的由於Richedit代碼頁溢出所引起的嚴重安全漏洞,它可以使攻擊者發送一段惡意代碼就讓接收這段代碼的QQ自動關閉。雖然隨後騰訊很快推出安全補丁解決了這一問題,但這種攻擊方式本身還是以簡單而有效受到廣泛的承認。對於這類攻擊 如果你還在使用以上老版本 ,防範方法就是盡快打上騰訊公司給出的不定, 或升級QQ。
三、另類攻擊
關於QQ還有一種另類攻擊方法,雖然危害不是很大,但也有必要告訴大家。相信嗎?在你的QQ所在文件夾下隨便寫個文件或者建立一個目錄,你的QQ就運行不了啦!如果你不相信,就和我一起做個試驗吧。
首先,點擊「我的電腦」進入QQ所在的文件夾,默認安裝在C:\ProgramFiles\Tencent下。然後點擊鼠標右鍵,選「新建」一「文件夾」,將這個新建的文件夾命名為ws2_32.dll。現在,運行QQ,輸入你的QQ密碼,猜猜會怎麼樣?如果你使用的是版本號為QQ2000c系列的QQ,如0630、510、0305b、0305等各版本,QQ將無法啟動,而且沒有任何提示信息!如果使用的是版本號為QQ2000b系列的QQ,將會出現如圖3所示窗口,讓你輸入本地消息密碼(本地消息密碼可以在QQ的「系統參數」一「安全設置」中設置)。此時,無論你.是否設置過本地消息密碼,而且不管你輸入的密碼是否正確,點擊「確定」都無法進入QQ,會一直讓你輸入不止。點擊「取消」則退出QQ。怎麼樣?無法進入QQ了吧?
為什麼會出現這種現象呢?原因是微軟把目錄和文件作為同級的東西來處理了,而QQ作為網絡通訊類的程序,必然要調用Winsock的一系列API,而這些API是存放在winsock.dH和ws2_32.dll文件裡的。Window有個特點,就是找動態鏈接庫的時候,會先在應用程序當前目錄搜索,然後才會搜索Windows所在目錄,再次是system32和system所在目錄。而我們前面做的試驗正是利用了這個特點,在QQ所在目錄中建立一個名字為ws2—32.dll的「目錄」,系統會把它當作一個文件優先調用,而實際上ws2_32.dll是目錄而非QQ所需的文件,所以QQ就給「憋死了」!
上面我們是建立名為ws2_32.dll的目錄,,下面我們再建立一個名為ws2_32.dll的文件,看看會怎麼樣?結果完全相同,還是無法登陸QQ!這也證明了我們上面的分析是正確的。
最後,再告訴大家一個好方法:如果有人在QQ上不斷地用語言侮辱你,在忍無可忍時,可以點擊對方的頭像,然後選擇「傳送文件」,發送給對方一個長度為0字節的文件(用記事本新建一個文件,什麼都不輸入,保存退出,即可得到一個長度為0的文件),之後,你就不會看到他喋喋不休的廢話了,因為他的QQ已經崩潰了!要提醒大家的是不要亂用此方法,當心進入別人的「黑名單」哦。
木馬防範技巧
1、QQ中防範木馬新方法
大家知道,目前黑客工具實在是太多了,木馬就是其中之一,特別是針對QQ的木馬就更是數不勝數了。那麼有什麼辦法避免木馬記錄我們輸入的密碼呢?這裡推薦一個小方法,可以使你的QQ密碼安全許多!具體方法是:假如你的QQ密碼是5009,在輸入時最後不直接輸入該密碼,這樣直接輸入會被直接記錄下來。你可以先輸入508,然後把光標移到8後面再按0,這樣你輸入的密碼依然是5008,但在木馬看來你輸入的就是5080,一字之差,謬之千里。這樣你的QQ密碼就安全多了!
2、使用中文做密碼
打開記事本,把你要作為密碼的中文寫入其中,用鼠標右鍵點擊屏幕右下角的QQ圖標,在彈出菜單中選「個人設定」,此時會彈出「修改用戶資料」對話框,點擊其中的「網絡安全」,選「修改密碼」,輸入舊口令,在「新口令」欄中把記事本裡的中文密碼粘貼進去就可以了。要注意的是:一個中文佔兩個字符的空間,QQ最大支持16位密碼,所以你的中文密碼不能超過8個字。
3、利用QQ註冊嚮導采隱身登錄
首先打開QQ登錄框選擇「註冊嚮導」填好號碼和密碼,點擊兩下「下一步」這時你看見登錄框頁面—亡有一個「會員功能」的選項。把「使用HTTP協議登錄(僅限會員使用)」前面打個小勾,然後在彈出的使用HTTP協議確認界面中點擊「選擇」,這時再點擊「下一步」後顯示「已將您的好友列表讀取到本地,點擊完成啟動QQ」,接著卻彈出一個「登錄失敗」的警告對話框,上面寫著「您不是會員,不能使用HTTP代理功能」。不要管它,點擊「OK」,這時候看見右下角任務欄的小QQ是灰色的離線狀態,雙擊彈出,在QQ主界面左下角打開「QQ2000」主菜單按鈕,選擇「系統參數」選項,在「會員功能」裡,把「使用HTTP協議登錄」前面的勾去掉,如圖2所示,然後,點擊「確定』』。再單擊QQ小企鵝,選擇「隱身」狀態。出現一個錯誤提示符,不要理它;點「確定」,再次選擇隱身登錄看,QQ已經隱身登錄了。