|
|
一、“QQ尾巴”病毒 , m, L9 g7 R i n a
) r+ [; e7 j" C. W/ O$ E
病毒主要特征 $ P8 X' E! `' U9 Y. L9 Q
1 y+ }- i( i- ?6 }
这种病毒并不是利用QQ本身的漏洞 进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。
( j) ^: H: [+ [& i. z E3 X' @9 v$ S, P
QQ收到信息如下:
0 h* o$ Y9 o* @* i0 F! c4 v/ L6 J }, K! n& C& ~ v# G6 Q
1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。
# y( N9 ~% q% i6 ?3 L4 b/ J6 a1 {: E: c% q
2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/
; F% S; |& q% Q: n! T3 N, w7 X4 M; u$ m# w9 N3 w/ r
3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
. ?! I. A& G, _5 J
4 q( E# x- B' M1 A4 Y+ K' }; K 4. http//www.hao***.com 帮忙看看这个网站打不打的开。 $ P' t7 c3 {4 {) ~+ e A. l# \! k
$ w$ \7 L; Y2 \ 5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?
- m+ N/ W6 L: v8 f$ Q0 H% _ `' q5 f2 S! @6 z, N' Z
清除方法
, T% f9 j0 o) D6 _
* b5 q2 v. @' a) I 1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。
$ i+ I& b) C) A$ G1 u8 ]
" k4 f$ f" O0 u e) t 2.安装系统漏洞补丁
# S% k! T# c% s+ u3 n- f& Z0 {( w# a0 ?8 {8 r
由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。
3 n z! i" w; }6 t: N/ f( ]
5 r8 P$ w1 f: Q3 z9 V. V4 m8 v! Q: V iFrame漏洞补丁地址 . d- r: ?# e1 c5 ~- K3 N* W
/ U: ^1 d$ P9 w& c二、QQ“缘”病毒
( X7 N: ~& B' t0 H
) u% f" b9 _6 [2 x) P% e 病毒特征: - m; w S' ]- o8 s- k! W
' p* \ M6 A; X7 m9 |
该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP://WWW.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。
6 h9 F$ e5 E @. b0 Z F& J
9 r# u9 H1 l7 _ 病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。 4 x* y1 J: y, R5 i3 O
5 p0 u9 _# E+ H* }. m0 F
清除方法:
4 u- |) O3 [ e2 j }6 O0 U, |& h! l9 z. Z! S ?
使用了下面的办法将其彻底删除。
" X7 W/ N# ]7 ]4 q% f% D. n# D C9 @6 w/ e) t
找到下列文件:
. h3 N- U2 F1 Y# }% o0 g0 |4 Q6 P0 B* u7 D* Q6 @7 B9 |5 ^! u% B
C:\windows\system oteped.exe
1 Y2 Y2 R6 \- {0 v& W1 E- [9 \
/ w1 F* e5 T/ y C:\windows\system\Taskmgr.exe 8 T3 A% x8 L( h: _$ C6 h
- J/ \' Q4 o2 C2 y* y9 }
C:\Windows oteped.exe
% u: q) ~9 E9 b. V: ] {
1 N. X0 x5 p9 I$ n C:\Windwos\system32 oteped.exe 0 u, ]1 K( |. A5 l$ h
2 V: a8 m; z- b) R: K 删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉 : v# N/ T) y+ _& b
7 v1 H+ o) t" Z0 F3 Q/ H l
注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器" ! g; E" |5 [% b* M
. b" V" j5 n! |: p. `& h- M& l
然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"
6 |& @ g% x1 D- l0 \: Z% u4 \5 h+ m [
找到"Taskmgr" 删除 # E; t' [/ p3 y% T7 @* D3 T
7 O* d+ h+ c+ m n, I3 \+ w
如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作: " }6 T* y% i3 j* g. Q* z
+ y9 ?! @4 V' T! j2 \
1.在任务栏上点击鼠标右键,选择任务管理器
- `: S! c8 a6 g9 _0 g5 R+ A7 I
. U+ g- I; H1 s: b$ D2 M 2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。 1 D7 [9 V: X5 Y
9 ]- V- ]$ V1 R6 v
3.点击开始-运行,输入Regedit进入注册表
" A7 t7 n) w4 p# m* f# i$ @& q5 Z8 Q+ O9 B. c
4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。 4 G; J) j. R4 @# j4 L$ p1 z K9 Y- A
m, m+ v3 y7 y 删除后重启计算机,《缘》QQ病毒宣布彻底删除。 & b1 t' E! L* _7 S
" `) u @4 `: W% f# q2 ] 另外提醒大家,尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。
7 `, B c1 u3 E近来网上出现一种叫做“QQ尾巴”的木马病毒。该病毒会偷偷藏在你的系统中,当你在使用QQ的时候,它会自动寻找QQ窗口,给在线上的QQ好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦--”之类的假消息,如果有人信以为真点击该链接的话,将会感染上病毒,并且成为病 四、“武汉男生”病毒
9 P9 G! i, l1 w+ p H, I$ X7 x1 K' t) Q% b4 j2 G& d u3 g9 w( u
病毒特性: 4 W1 ?! ` ]# u8 u
: j! c Z- ^9 r- O! A h* _$ I, t
此病毒是“武汉男生”的一系列新变种,病毒发作后会利用QQ聊天工具进行传播,定时给QQ网友发送包含网址的信息来诱使用户点击,该网页利用了IE的Object Data漏洞下载并运行病毒本身,该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL,IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta,那么该URL指定的文件就能够执行,无论IE设置的安全级别有多高。
0 o. G% L8 p. |( F$ K) w+ z( R' r# L7 O6 s, y) K# s
该变种较明显的特点是,病毒运行后,除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息,并以邮件形式发给盗密码者,还会结束多种反病毒软件,以保护自身不被清除。
# E3 W0 o- `% y& Q/ j0 @+ {8 J
) S& O2 G( m# V2 I4 E2 ~ (1)如果点击病毒网页,将会显示美女图片,而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞,下载并运行leoexe.gif和leo.asp文件,其中leoexe.gif并不是图像文件,而是exe类型的病毒体,leo.asp是病毒释放器;
6 s# A& G4 b9 C) @
7 \) j, X9 R; k! W (2)病毒一旦运行,将结束大部分杀毒软件、防火墙以及某些病毒专杀工具;
& c, S+ `* v ?' B( z4 | F" l
% c2 m/ m1 S$ l (3)每隔一段时间给QQ网友发送信息
$ v7 r9 {+ f l0 C6 b1 O' l: @6 P+ }! e( K
(4)病毒运行后会复制自身到系统目录下,文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表
$ T* k; r0 u7 [. V8 Q+ t& f& b9 W# @6 E# H5 c: Y
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加:
( l/ ]6 h. J/ A( m; z3 t) L/ l5 C0 u) Y$ N
“windows update” = “%安装目录%\system\updater.exe” %安装目录% 是Windows 系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c:\windows;c:\winnt 等。 , Z- l* C, B% }, C, b
" C! k4 i- R' J+ Q% D
(5)修改文本文件(*.txt)关联和可执行文件关联,直接指向病毒本身,如果用户运行任意的txt文件和exe文件都会激活病毒。
' ?9 [3 _4 a6 r1 r: E
( ~0 \$ m! d' _1 `8 I (6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息,发送到指定的E-Mail信箱。 . ~. m: u$ e$ E. W
+ o$ P- a7 s8 d. t& e/ y 清除病毒
q8 P3 X" X$ H
* P2 |- B/ I0 ^$ w 1、删除病毒在系统目录下释放的病毒文件 # z: H* I" R+ h+ z- N% H' U
; d/ [8 C1 ?7 I+ Q2 J% x 2、删除病毒在注册表下生成的键值
; i1 }4 r, @% @/ Z
% X, I8 o/ O, b/ C 3、运行杀毒软件,对病毒进行全面清除. Q) V" f( C4 _: d. W
四、“爱情森林”病毒
4 Z+ N9 k$ X" r2 m' e& h
/ G' n: e( b" J2 Z6 C7 i! ~ (一)病毒特征 : H( h2 \% Z5 Q/ A2 ]8 P
* m9 e2 |: O* B( c& H/ r) P8 G6 [ 该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会:
. y7 e6 |' n9 e% Z% G7 U7 b
% B2 n: m) s2 P' n9 m 1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。 . a+ M/ n/ b5 L, x6 W% l
: o. F6 H# w" R$ [ 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) : C( K% R% c3 X( C% q% }7 Q& x
6 J4 P W4 z7 B. v" {, k
3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。
0 D) |8 u5 A# f- Q- p4 z. E# t. W6 k# s' h3 f' W/ f' o% V6 ^$ K2 @5 x
清除方法 % p3 C1 g+ x5 w: a5 V# T* C/ S7 N3 P: ?
* N4 Q. p8 B- | J5 {7 z5 ^
(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 ) E% f7 z5 _! y; o# ~
; U0 e B: x4 w9 ]
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
8 \' ?9 |/ W7 R; j! @6 n
{' g: x' W7 K; B2 t, { (二)变种一病毒特征
" g1 v& j8 _; H: I# X b: X, i2 K6 A/ E5 z0 ~
该病毒运行后会: . S8 e: N; m$ Y& N# J7 m: B+ P
) k$ D8 z/ H! S$ E4 b8 E
1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
- i) Y* ^4 z' M& y+ Q( `8 T$ z/ I& b, C1 ^8 R- t5 e
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。 4 {* U+ D2 L' w7 O( j$ g
; Z* E% |6 G L& d# j1 _4 [ 3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。 % o+ m5 v& x* x
6 s, p- N( ]/ Q, h 4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。
% B, ]( }5 E& b3 a7 Z
2 b( k1 M3 ^! G/ E 5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。
5 f6 y4 t' Z' b" n; _
5 K, t6 E6 D1 [0 }清除方法 7 L3 n7 N6 z+ U" U& B. f7 v
1 ~% R$ y: O! m1 ~3 ~% t (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。 3 I* E0 H* P. J% L. l
( r/ P/ P F3 d6 f( Q (2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。
, w0 h8 R, D1 f0 ^; ^+ c% R: h& m8 _- j% L
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
8 Q b/ o( L9 _) s) P' p
% `% L+ K- V" }: S, } (4)若根目录下存在文件setup.txt或mima.txt,将其删除。 ) R* q$ W: q0 V; Q) }$ ]
4 k6 M+ c5 a1 W% E3 U
(三)变种二病毒特征
6 L) K$ [3 Y0 I9 b7 S9 P( o! g8 N3 P
该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。 * {! A! M# a% A- X
. ^/ o; @, y9 Y
木马程序被运行后会:
( E9 z" O' |: \) l3 t& a& u" U* Q6 }5 N
1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。
) T- @) M5 R `, a0 ]: o" o
0 Q: Y# h- j. |$ I1 c6 l 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
& W" e1 |" d9 g- P- v2 D ^
& D3 p2 t; C- t- a( V 3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看,很好看的”,当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。
% N& \" i% `) y
- k* m$ r6 w/ X+ q. a& v 清除方法: 6 h9 |$ F% q2 n6 O- q0 P* D# E+ @
1 y; Q7 R$ \' X (1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
% X: `8 s7 e; X4 n- e" s. a8 X: ?# x+ U: c
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
5 h4 j) q% Z/ X( C- u! h% R) _" j4 e$ h- F
(四)变种三病毒特征 1 h% p7 D; E5 \0 S% j
2 [3 n- ~1 B! f' n6 s/ @( w 该病毒运行后会:
9 I6 f/ m5 x& m6 O, m5 a
$ }5 l7 [ o+ }* m r. |+ b" I 1、复制两个自己的拷贝到Windows的
. z& k* ~3 Y1 W% E |
评分
-
查看全部评分
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2012-2-6 12:07:12
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡