病毒的主要特征
這個病毒不是利用QQ本身的漏洞傳播的。它實際上是在壹個網站的首頁嵌入了惡意代碼,利用IE中iFrame系統的漏洞自動運行惡意特洛伊,從而入侵用戶系統,然後通過QQ發送垃圾郵件。如果用戶系統沒有安裝漏洞補丁或者沒有將IE升級到最高版本,就會運行他們在訪問這些網站時訪問的網頁中嵌入的惡意代碼,然後運行壹個特洛伊木馬,通過IE的漏洞進入用戶的機器。然後,當用戶使用QQ給朋友發送消息時,特洛伊會自動在發送消息的末尾插入壹個廣告詞,通常是以下句子之壹。
QQ收到以下信息:
1.HoHo~~這個東東是剛剛朋友發給我的。不看會後悔的,呵呵。也送給妳的朋友吧
2.呵呵,其實我覺得這個網站真的不錯。看壹看/
3.要不要來點搖滾罵人舞曲?中國DJ第壹站,網站會告訴妳。不要告訴任何人~哈哈,真的是國內最好的DJ站點。
幫忙看看這個網站能不能打開。
5.看著它。我最近的照片是網上掃描的。看看我有沒有變。
清算方法
1.在操作期間輸入MSconfig。如果啟動項中有“Sendmess.exe”和“wwwo.exe”兩個選項,就會被禁止。在C: \ Windows中,有壹個名為qq32的文件。INI,包含QQ附帶的廣告詞。刪除它。進入DOS,刪除“Sendmess.exe”和“wwwo.exe”兩個文件。
2.安裝系統漏洞補丁
從病毒的傳播方式,我們知道特洛伊病毒“QQ尾巴”是利用IE的iFrame傳播的。即使不執行病毒文件,病毒仍然可以通過漏洞自動執行,達到感染的目的。所以要敢於快速下載IE的iFrame漏洞補丁。
IFrame漏洞補丁地址
[2、QQ“邊緣”病毒]
病毒特征:
該病毒用VB語言編寫,用ASPack壓縮,通過QQ消息傳播。運行後IE的默認主頁會改為:mand,並修改以下鍵值:default = " C;\cmd.exe %1*"
b,添加。sys文件,以便在瀏覽帶有病毒的網站時,執行註冊表主鍵中的病毒文件b . sys:HKEY _ class _ root \ sysfile \ shell \ open \ command,並修改以下鍵值:default = ""%1 ""%* "
c,添加。註冊表主鍵中的tmp文件:HKEY _ class _ root \ tmpfile \ shell \ open \ command修改以下鍵值:default = ""%1 ""%* "
6.嘗試盜取傳奇遊戲的密碼,通過自己的郵件引擎,以“mj25257758@263.sina.com”的名義發送到“scmsmj@tom.com”的郵箱。
7.在Win2000、WinXP和Win2003系統中,系統文件“Rundll32。exe”在系統目錄中,所以病毒會試圖覆蓋該文件,但是這些系統可以自動保護和恢復損壞的系統文件,所以病毒無法正常加載,但是仍然可以通過EXE關聯加載。
清潔方法:
A.關閉Windows Me、Windows XP、Windows 2003的“系統還原”功能;
b .重啟至安全模式;
C,先將regedit.exe重命名為regedit.com,然後用資源管理器結束cmd.exe進程,再運行regedit.com,將EXE關聯修改為" " %1" %* ",然後刪除以下文件:C:\cmd.exe,% Windows % \ download program files \ b.exe。對於Win9x系統,刪除%SystemRoot%\Rundll32.exe,然後去* * *享樂目錄看看有沒有兩個文件,“病毒查殺。exe”和“周傑倫演唱會。exe”,文件大小為11184字節。如果有,就刪掉。
d、清理註冊表:
打開註冊表,刪除主鍵HKEY _類_根\ sysfile \ shell \ open,HKEY _類_根\ tmpfile \ shell \ open將HKEY _類_根\ exefile \ shell \ open \ command的鍵值修改為“% 1”% *。
預防措施:
不要輕易點擊QQ上的不明鏈接,不要安裝來歷不明的插件(如病毒網站所謂的“動畫播放插件2.0”)。
[四。“武漢男孩”病毒]
病毒特征:
這個病毒是“武漢男孩”的壹系列新變種。病毒爆發後,會利用QQ聊天工具進行傳播,定期向QQ用戶發送包含網址的信息,誘導用戶點擊。該網頁利用IE的Object數據漏洞自行下載運行病毒,這是由於HTML中OBJECT的數據標簽造成的。對於數據標註的URL,IE會根據服務器返回的HTTP頭對數據進行處理。如果HTTP頭中返回的URL類型Content-Type是Application/hta,那麽無論IE設置的安全級別有多高,都可以執行URL指定的文件。
這種變種的明顯特征是,病毒運行後,不僅會定期向QQ用戶發送相同的網址,還會趁機竊取“傳奇”遊戲的賬號、密碼等信息,並以郵件的形式發送給密碼竊賊,還會結束多種殺毒軟件保護自己不被清除。
(1)如果點擊病毒網頁,會顯示壹張美女圖片,同時彈出壹個標題為“asp空間”的隱形窗口。該網頁利用IE漏洞下載運行leoexe.gif和leo.asp文件,其中leoexe.gif不是圖片文件,而是exe病毒,leo.asp是病毒釋放者。
(2)病毒壹旦運行,會終結大部分殺毒軟件、防火墻和部分病毒查殺工具;
(3)定期向QQ用戶發送消息。
(4)病毒運行後會將自身復制到系統目錄下,文件名為updater.exe、Systary.exe、sysnot.exe,在註冊表HKEY _ Local _ Machine \ Software \ Microsoft \ Windows \ Current Version \ Add:run services %中的:" Windows Update " = " % installation directory % \ system \ updater . exe "安裝目錄%是Windows系統的安裝目錄,不同系統下該目標的性能可能有所不同,包括:C:\ Windows;C:\winnt等等。
(5)修改關聯文本文件(*。txt)和可執行文件直接指向病毒本身。如果用戶運行任何txt文件和exe文件,病毒就會被激活。
(6)病毒會在電腦中搜索傳奇遊戲的賬號、密碼等信息,並發送到指定的電子郵箱。
刪除病毒
1.刪除系統目錄中病毒釋放的病毒文件。
2.刪除註冊表下病毒生成的鍵值。
3.運行殺毒軟件徹底清除病毒。
【五、“愛情森林”病毒】
(壹)病毒特征
這個木馬程序的原文件名是hack.exe,是用Delphi寫的,UPX壓縮的。特洛伊木馬程序將:
1.把自己復制到Windows操作系統的系統目錄下(通常是windowssystem),重命名為Explorer.exe。因為它和Windows目錄下的Explorer文件同名,所以會讓用戶產生混淆,讓他們以為是正常的系統文件。
2.修改註冊表,在HKEY _ local _ machinesoftwarecrosoftwindowscurentversionrun下添加鍵值explorer = " % windows system % explorer . exe ",讓特洛伊開機後自動運行。(其中% Windows系統%是Windows的系統目錄)
3.該網站還會下載update.exe文件,並執行下載的程序進行其他破壞活動。清理方法(1)首先打開任務管理器,結束位於下面的資源管理器進程,然後刪除系統目錄中的Explorer.exe特洛伊馬。或者重啟到DOS,直接進入系統目錄刪除特洛伊。(2)打開註冊表編輯器,刪除HKEY _本地_機器軟件MachineSoftwareCrosoftWindowsCurrentVersionRun下名為Explorer的註冊表項。(2)變體1病毒的特征
運行後,病毒將:
1.把自己的兩個副本復制到Windows的系統目錄下(Win9x壹般是Windowssystem,WinNt壹般是WinNtsystem32),分別重命名為rundll.exe和sysedit32.exe。
2.修改註冊表,在HKEY _ local _ machinesoftwarecrosoftwindowscurentversionrun下添加鍵值in tarnet = " %windowssystem% rundll . exe ",使特洛伊在開機後自動運行(其中% Windows system %是Windows的系統目錄)。
3.修改註冊表,將HKEY _ CLASSES _ root xtxfieloshellopencomand的缺省鍵值改為% %windowssystem%sysedit32.exe,並與記事本關聯,這樣當用戶打開TXT文件時,特洛伊就有機會運行了。
4.特洛伊會通過QQ程序向其他QQ用戶發送“To Coremail System(帶反垃圾郵件)2.1”,另壹個對話框是“無法打開file .mima.txt”。
清算方法
(1)打開任務管理器,結束RUNDLL和SYSEDIT32進程。
(2)刪除系統文件夾(Win9x通常為Windows系統,WINNT通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的文件(文件大小為1781752字節)。
(3)打開註冊表編輯器,刪除HKEY _本地_機器軟件Microsoft Windows currentversionrun下名為in tarnet = % Windows System % Rundll.exe \ "的註冊表項。用於恢復HKEY _類_根ttxtFileShelopenCommand的默認鍵值是Notepad %1。(其中% Windows系統%是Windows的系統文件夾)
(4)如果根目錄中存在文件setup.txt或mima.txt,則將其刪除。
[6.“QQ女友”病毒]
病毒特征:
利用QQ發送誘人信息導致用戶上當。該病毒向網上好友發送壹些很有誘惑力的新詞和鏈接,讓不明真相的用戶上當。
1.將自己復制到系統目錄:
%SYSDIR%\internet.exe
%SYSDIR%\svch0st.exe
2.修改註冊表鍵值病毒自啟動>的如下招數;:
HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \當前版本\Run
“網絡聯合公司”=“互聯網。EXE "
HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \當前版本\Run
" S0undMan " = " % SYSDIR % \ SVCH0ST。EXE "
3.病毒運行後,會建立壹個HTTP服務器監聽TCP端口20808。
該功能將響應遠程下載請求,並將本地病毒文件復制到遠程機器。
4.病毒搜索QQ聊天軟件,向網上好友發送誘惑信息。內容如下:
“妳太美了,美得像壹首抒情詩。妳全身都充滿了少女的天真和青春的優雅。
給我印象最深的是妳清澈如湖的眼睛,還有妳長長的閃爍的睫毛。
喜歡詢問,喜歡關心,喜歡問候。
這是妳需要的:
下載地址1
"
" c:\123456.exe "
" c:\pass.exe "
" c:\game.exe "
" c:\my_photo.exe "
" c:\update.exe "
" c:\mp3.exe "
" c:\666666.exe "
這些是病毒本身。
鑒於該病毒的特殊性,尤其是女性QQ用戶,看到以上信息請不要上當。
清算方法
(1)打開任務管理器,查看是否有名為INTERNET.EXE或SVCH0ST.EXE的進程,並終止它。
(2)打開註冊表編輯器,刪除以下鍵值:
HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \當前版本\Run
“網絡聯合公司”=“互聯網。EXE "
HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \當前版本\Run
" S0undMan " = " % SYSDIR % \ SVCH0ST。EXE "
(3)刪除%WINSYS%目錄下的文件:SVCH0ST.EXE和SVCH0ST.EXE。
註意:%WINSYS% bit Windows系統的安裝目錄在win9x、winme、winxp WinXP下默認為C: \ Windows \ System,在Win2k下默認為C:\WINNT\SYSTEM32。