★我要吧★

标题: 详解五大QQ病毒特征及清除方法 [打印本页]
作者: 笨笨的泪水    时间: 2012-2-6 12:07
标题: 详解五大QQ病毒特征及清除方法
一、“QQ尾巴”病毒
- A8 X8 ?+ H' v0 o% ?! s" ?1 W8 H  t  N8 t
  病毒主要特征 ) g% }* L5 ~5 v* i( N' a( ?6 o4 ]

8 X0 C$ d5 \9 }9 e  这种病毒并不是利用QQ本身的漏洞 进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。
5 o8 v4 g0 }* M9 {6 i
4 T3 w1 U; i9 R2 [. G1 c  QQ收到信息如下:
, x* P4 G  V' n  [4 n- d$ Y4 _0 b; Y5 l+ |
  1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。 / ?8 \5 c3 V/ T! Q4 C
8 m# ^1 C" s& A# P* i1 P9 C( e" D
  2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/ 0 ~. z9 k# p  y. ?6 p+ J$ t0 f" P

# {7 x! |3 g* z% {* N  3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
: S9 R: x" a' H! w
. w% o  ?/ D& h6 p0 [2 Y+ b( _* h  4. http//www.hao***.com 帮忙看看这个网站打不打的开。 ' A2 k8 ]; w; p4 U3 g+ I  j
: g' i2 ]4 Z  ?, @9 t
  5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样? 6 @) t  F: C7 n1 q/ [2 P
; l, j* o* P* [5 h7 J' l  Q* [
  清除方法 - Y: v: f/ g' g- a) ?5 L
$ L2 w1 t0 q& }7 E
  1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。 . a( k( w) @' ], J

2 g! W0 p$ p+ J5 G/ ~  2.安装系统漏洞补丁
" A( J4 O1 ~5 G1 t3 p
; n5 g* I+ X9 c$ x+ v6 ?  由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。 * L+ F6 X& [4 n* M- \

7 @& D0 ]6 H- N$ M" d  iFrame漏洞补丁地址
% N1 M' z7 q* [: C& L4 s7 e2 ^+ ]+ D' I9 J' a0 u% S' g
二、QQ“缘”病毒
/ ^; P$ x5 K( K9 ~/ p3 O, q" u' }
5 H# {4 B# k2 ]! G7 [6 U  t" x  病毒特征: & |; c5 Q8 ^/ W7 H' Z5 r9 l
6 E8 K, s) h  |. c* j$ s" x- ]$ Y
  该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP://WWW.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。 ; U# T+ w! D$ [3 }8 [/ s
1 M8 x4 C$ ^, g7 G4 C6 j' @
  病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。 5 H) b' I$ x. O0 [6 \! C; ]6 L3 C
4 z, G3 _5 s$ C- f  L! K5 W
  清除方法: & a9 \7 w3 r/ D! N8 ~
! r/ }4 L  f: v. N
  使用了下面的办法将其彻底删除。
! Q' @" j# m- F0 f
, H% |" w1 C+ D+ v  找到下列文件: . [/ I1 ]% c/ ]/ p  M

1 \: `/ R( M: H3 M  C:\windows\system oteped.exe
9 I( d) W) v- k. J! O8 I7 R+ n. H% o. d
    C:\windows\system\Taskmgr.exe
; v' n% k8 k5 o! A* O6 u( s  i  _0 j
    C:\Windows oteped.exe
8 |- g- L, D5 j% M/ l6 ~) f5 n+ i2 ?
    C:\Windwos\system32 oteped.exe
/ R2 X6 G7 c' s. J! L+ A
  S1 {( e% |% t7 q( u+ `  删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉
, n2 B* P8 u7 [/ v9 y5 t5 v
2 }% y. g% n! g0 u9 p2 Y& H" F+ L  注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器" 0 f% z4 K- |3 `0 }  m2 ?5 t: H
9 n$ G) }; i# @6 ]
  然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"
7 I2 h8 y7 H5 ]! W6 @; t  m. M% v$ R) I0 j* `+ [; o$ d
  找到"Taskmgr" 删除
" N9 _. z& ?  \9 L
5 X# Z) _' p( l/ p( g7 M  如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作:
& N- M& i* h+ i/ j6 v/ i+ V! t; c; j8 \& m
  1.在任务栏上点击鼠标右键,选择任务管理器
! Z: _& n: B9 }7 ?! e5 K3 R  E% o
/ P) ?9 N& ^4 m; k  2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。 ' x# ~9 X/ Z$ O7 p: `+ s4 u3 O8 s
$ |( }7 c% ]+ f8 G
  3.点击开始-运行,输入Regedit进入注册表
# K9 ], K; D0 [; ]4 W: Y/ P
+ Y4 P! P- g$ Y  4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。 + a/ _9 p5 |, ^: V

% n" e# n* d, D# X7 b7 @: t  删除后重启计算机,《缘》QQ病毒宣布彻底删除。 # z0 H- @5 w3 J4 H" N  J$ B4 v. @5 x
3 n( q/ b4 ^2 n$ ~" N" r" x
  另外提醒大家,尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。% I  D4 A; l+ e& x4 s( O
近来网上出现一种叫做“QQ尾巴”的木马病毒。该病毒会偷偷藏在你的系统中,当你在使用QQ的时候,它会自动寻找QQ窗口,给在线上的QQ好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦--”之类的假消息,如果有人信以为真点击该链接的话,将会感染上病毒,并且成为病 四、“武汉男生”病毒
: Y9 e+ t1 h9 D, K* L6 V% o; E
- P$ ?  Q8 ?2 `  ]  病毒特性:
5 y. [* C3 o/ T, U# p2 E
; ^+ g7 J; U$ C9 z  此病毒是“武汉男生”的一系列新变种,病毒发作后会利用QQ聊天工具进行传播,定时给QQ网友发送包含网址的信息来诱使用户点击,该网页利用了IE的Object Data漏洞下载并运行病毒本身,该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL,IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta,那么该URL指定的文件就能够执行,无论IE设置的安全级别有多高。
6 [% i$ s  Y/ O+ A( a# f1 h# d+ h7 U8 x. c, S3 S: y
  该变种较明显的特点是,病毒运行后,除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息,并以邮件形式发给盗密码者,还会结束多种反病毒软件,以保护自身不被清除。 8 H+ Y. J5 ]) {0 o- O
5 j$ v, n8 r% q* N
  (1)如果点击病毒网页,将会显示美女图片,而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞,下载并运行leoexe.gif和leo.asp文件,其中leoexe.gif并不是图像文件,而是exe类型的病毒体,leo.asp是病毒释放器; 8 ]6 M0 |3 O" b* \% ]( T4 r) I3 Q: z

  Y/ q# a5 M) g- Q" H" C  (2)病毒一旦运行,将结束大部分杀毒软件、防火墙以及某些病毒专杀工具; / X& S- e2 A! w, {

5 z9 x0 w9 Q6 c  (3)每隔一段时间给QQ网友发送信息
# o1 |1 W8 F5 `! X; T
; v( C4 N* H! E5 j. N) ?  (4)病毒运行后会复制自身到系统目录下,文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表
4 C2 @* O9 T) W1 |+ t, w, U. C% K
, n! z$ Z/ [! l7 V/ A1 U* E/ @: H" e  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加: ( h0 E& F# I$ v* J: x# [
7 l7 [; T/ x9 ^1 E6 @7 z/ m) ^
  “windows update” = “%安装目录%\system\updater.exe” %安装目录% 是Windows 系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c:\windows;c:\winnt 等。
9 Q. M3 z2 C  Y: N: H2 S* u
# y7 U" C( w+ }! b& ?3 A  (5)修改文本文件(*.txt)关联和可执行文件关联,直接指向病毒本身,如果用户运行任意的txt文件和exe文件都会激活病毒。 2 i, q& h, s3 L# V/ @( t  U$ s! n

: p" F& w& Z5 b& w( g8 r  (6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息,发送到指定的E-Mail信箱。 / ^7 @/ G$ B- i! M3 m- j+ s

* q4 G0 n; r$ o/ o0 r9 T  清除病毒
) u  P; l3 F( x! B3 J" ]9 U2 p3 |1 G: t- o4 ?
  1、删除病毒在系统目录下释放的病毒文件 0 y. h' K+ p1 G7 O" j6 d
- z( \3 f- G. L: v1 N9 }
  2、删除病毒在注册表下生成的键值 - ]1 B* e9 j# k% V3 V* e* z% [

4 V( O3 w3 z1 N* K) `9 j  3、运行杀毒软件,对病毒进行全面清除/ H  M4 V; }! E- m+ s9 h
四、“爱情森林”病毒 2 ^4 H7 R: m3 e3 X# A3 S( C
5 T" S  A) w) `/ \5 S7 F( u
  (一)病毒特征 7 ~+ H0 d& d: ~2 N2 R" C; X( T- S

* X: c: G! G! t9 Z- V  该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会:
+ Y1 P9 H* F. G0 a& D7 S7 ?& g
4 G, P' H. {  R* ?. N, z  1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。
+ L7 s$ {- z3 O, Y0 M: }+ K
0 H! a/ @/ J) P  r  2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
3 d2 v6 P" J2 e8 ^8 [9 o4 D
) K+ i4 W5 L) l- @  3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。 ( s6 `6 r" c, T1 \9 p6 M
3 B; D+ F" {! F9 P
  清除方法 - @3 p* _" |6 F4 E. |  H# p
6 E5 J  t" b7 O: W- l
  (1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
" K. T* B$ V8 n3 a" x
) R  E$ V! h  N7 \( ~0 F$ g  (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 - d# C) R. U# {3 O9 i0 r2 S5 s
* O$ v  H" n& {, ?3 \
  (二)变种一病毒特征 $ T5 t) y! M+ J; ^# |7 N
7 n% o. i' ~( [( _, @' Z
  该病毒运行后会: 1 |9 P! y' I, t5 A. L& M
0 u) u; |; H; L; g
  1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
; x5 g  n  p# L. K* }9 m' n( V5 G' y4 x# d% p
  2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。 7 Z6 Y( n8 |7 {! T8 i3 b

$ s2 Z7 W6 @( G1 c  3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。 % Y) R+ u; `* Q, g# I6 K+ _. O
/ Q( c* E: M; }( S" l
  4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。 & }7 F5 T  f% g+ ?

0 W* a. z* d3 W  5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。
- _/ t8 A5 r" Q) T  L1 Q& ]  X# Z
8 O6 @' L* n3 B清除方法 7 g5 \: K( N' ?2 v7 T# m2 O4 E
6 U7 ?$ G9 g9 P! l
  (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
) ^) P% y. b4 p2 h8 `' s; I- z/ [1 h1 A; }! K
  (2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。
: v0 v3 a. l) F
) i3 f% q. B3 m6 {( B( c  {2 d1 N$ ]  (3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
/ A! t# o) K8 O0 ]
; h$ D8 x6 z" J) E) i  (4)若根目录下存在文件setup.txt或mima.txt,将其删除。 1 w+ G/ J. b& p/ F: J$ V

* ?+ }$ D  L. P- a* ?. F  (三)变种二病毒特征 - u8 X2 K# P$ W/ C. h, @
' @6 B1 L$ x  m& V0 |
   该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。
' M0 {% y4 S  U) Y, ?' ?0 V7 x. E6 K- p/ A3 Q" K/ |9 ]3 i
  木马程序被运行后会:
% s# @* t! M" ^( c8 o2 T! L. k+ k
$ C0 h2 v* U. Z& E* n/ S  1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。
5 a# c; \  c+ H7 c8 F. {9 L9 g+ N- @6 x3 Q0 I
 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) 3 O9 o: z! E. Q
9 q# t) O2 V3 y1 T  ^+ U9 W! C
  3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息http://ajim.delphibbs.com去看看,很好看的”,当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。   x7 E) Z# B3 ]* ?

4 X/ I. S7 T$ k$ w: N1 M  清除方法:   x* n& ]8 {" _& q' K. }, v- H

! {; [5 v5 B8 y2 m/ s- v" a" w  (1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 ; T. g$ A: V  t; j0 z+ J# r

% x/ E5 j. c' [% J$ K  (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 / r. O; N  M$ K+ v" U
4 N6 L8 L  ^: E. ]3 u
  (四)变种三病毒特征 / g" ]7 w5 W9 C4 i' q+ M) l
/ J: f2 t& n- e6 Y, X
  该病毒运行后会: 4 Y; L4 R8 ^& i/ d: [2 M- f( H5 }
; W% j8 j) H5 Y+ r0 m: w1 p
  1、复制两个自己的拷贝到Windows的
1 j  y1 G0 u/ n( g& G; `
作者: 郑毅    时间: 2012-2-6 12:27
学习了 呵呵
作者: 也许这也是我    时间: 2012-2-9 02:35
好东西!!!!!!!!!!!!!
作者: 神无、    时间: 2012-2-10 00:01
LZ好强的说
作者: 神无、    时间: 2012-2-10 00:01
LZ好强的说
作者: 追昔行    时间: 2012-2-10 20:53
第二种病毒。。。很熟悉。。。
作者: εмíηèm    时间: 2012-2-12 09:57
谢谢楼主分享
作者: hzp1982    时间: 2012-2-14 13:59
不管好不好还是要谢谢楼主
作者: 爱娃娃    时间: 2012-2-28 19:38
要看要看,努力挣钱中
作者: 爱娃娃    时间: 2012-2-29 21:25
要看要看,支持一下
作者: ddwwbb    时间: 2012-3-3 23:26
有杀毒在 不怕不怕
作者: ko5659517    时间: 2012-3-10 20:43
感谢LZ分享 先回复 再看贴
作者: 要吧小蒙    时间: 2012-3-18 21:36
谢谢分享让我们把我要吧建设更加强大
作者: ″得瑟得瑟。    时间: 2012-3-19 19:27
支持楼主。我来学习下。
作者: 两毛5    时间: 2012-6-24 09:41
好像很不错的样子   谢谢分享
作者: lovekille    时间: 2012-8-3 20:31
楼主很强大            学习中
作者: wypj123456    时间: 2012-8-10 17:39
学习学习加油
作者: 1733705307    时间: 2014-2-15 20:49
mark一下啦
作者: 年少的你不懂我的心    时间: 2014-5-26 20:07
谢谢分享!!!
作者: 十二月的奇遇    时间: 2025-9-19 21:49
谢谢分享,看看能用上吗
作者: 无聊一天    时间: 2025-10-18 21:11
以前都是360  好像没见过



欢迎光临 ★我要吧★ (https://www.abc369.net/) Powered by Discuz! X3.4