|
|
一、“QQ尾巴”病毒
0 {0 n9 D9 {3 t
7 X) W5 p8 [3 Q' m 病毒主要特征 6 }8 d9 Y L, x$ `9 F) S+ S) I
/ x3 G) A9 W7 h8 H4 ^7 R9 G 这种病毒并不是利用QQ本身的漏洞 进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。
- f8 ?% I8 l8 E- i t2 ]$ G0 ?2 l! H% Y
QQ收到信息如下:
3 i. N$ K: R4 G" \! ~4 ?2 J5 k7 }: q/ S- A7 M, Y$ l% x5 y
1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。 8 q" [' F7 m% P! U
8 b4 O6 n* r) e4 n H 2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/
! q4 U3 ?7 u3 U. F, T0 s
, a& {; ~( c* ~0 E: i0 Z6 R 3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
$ P- _" p7 F) @! {
T2 c/ X/ z) A6 I 4. http//www.hao***.com 帮忙看看这个网站打不打的开。 1 Z7 q4 z0 e9 O$ V' h, I
7 I3 d& z' ]$ V0 j 5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样? - [" ?# k0 h* j8 I
. L$ I4 H4 Q7 P2 w# [ 清除方法
1 L: Q" `" _( X( M. C" M' v* k: E: M+ S8 ^6 g6 z" {" O
1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。
; ^: z2 y; O3 d/ G& [, z
, W# E4 h) ?9 p; P 2.安装系统漏洞补丁 % F* N( e# W5 Q' S7 {
: k5 I2 T+ |1 e7 ^ 由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。 & A8 B- k7 O4 @$ W9 Z# e
* v5 z# E) o4 J, E
iFrame漏洞补丁地址
# F' v4 v% z7 a
' g9 ?; P8 E5 N+ h8 A) P二、QQ“缘”病毒
" _ n( D( r2 u3 x7 \' K" [) |. M6 P- b5 H. a. n* H# G6 H* s3 U
病毒特征:
1 j0 i; a: y" [
# `( o7 n. z# F% D" L- f 该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP://WWW.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。
9 S. r2 o, K1 `) `2 l2 E: [* ]
7 q4 N+ o9 x& {4 C h2 u 病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。
2 v/ h6 ]; l, @9 `. c/ P5 H5 s" r! R( N m
清除方法:
$ r: \: x5 C/ w; T8 F. z& x, L2 ?( Z5 z$ N j1 @% h; N0 S
使用了下面的办法将其彻底删除。 0 S+ j" I4 z6 {1 G+ F
+ v% _! ~0 b7 A. D3 C4 g$ |0 s
找到下列文件: : N/ o, Y; X2 k1 f2 I
9 q. S8 I n5 \. z, X% V
C:\windows\system oteped.exe 3 ]2 ^, r2 d8 X3 o
3 l- y4 R) m& H E; `8 Z
C:\windows\system\Taskmgr.exe x9 y& g7 [; @' i* B; E: C
% e1 {9 k# E* i% k9 Q* M2 \
C:\Windows oteped.exe 5 r5 G& p8 i6 i
0 c$ r, _/ o- ~; i1 t t/ [ C:\Windwos\system32 oteped.exe
* z8 m2 ]! W( m9 F8 j4 v
6 D* j, l/ H: s2 g& a) f 删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉 7 H2 D* H0 K2 b# X
% i4 q) b* [7 L$ I+ G) Z5 W
注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器" & [3 S# Z6 F0 A1 L) Q+ U0 Z
( J; @# h1 t: t) p, {* h @ 然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"
6 @$ l" K3 L2 _/ F4 M; D* \# O/ Z/ c! C' U
找到"Taskmgr" 删除 9 ~ y: F& |& v2 s
! Y7 b6 s: k4 R" J; V4 Y5 D
如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作: & x) \% Y' q- a
4 R* _! W! j; B9 U7 I
1.在任务栏上点击鼠标右键,选择任务管理器 9 n# q8 r, v( C
# ?* y7 N' [1 ]( i8 B; ?4 @8 J 2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。 ; M3 G4 M9 Q# @" h4 N0 p: o
' O4 V) k& o0 w2 u 3.点击开始-运行,输入Regedit进入注册表
, A0 y, h+ N/ e$ l
# f, ?! i/ R' i* S% R5 k 4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。 7 K& m3 ^4 c3 k, X8 C: M
3 ?8 S8 b G5 Z- n$ h6 y! ]
删除后重启计算机,《缘》QQ病毒宣布彻底删除。 / n. L& | w' d& X- D2 R% C
" S% ?4 U ~3 Y/ S7 Y6 d$ b% }5 b) V
另外提醒大家,尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。
; z K% q0 w& g( I: J近来网上出现一种叫做“QQ尾巴”的木马病毒。该病毒会偷偷藏在你的系统中,当你在使用QQ的时候,它会自动寻找QQ窗口,给在线上的QQ好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦--”之类的假消息,如果有人信以为真点击该链接的话,将会感染上病毒,并且成为病 四、“武汉男生”病毒
a& M" L8 a. E6 u# Y% u% v4 x/ W7 s6 H" D
病毒特性: 3 s% a7 ~2 A7 q, V5 F
+ j" y6 @( `, K. k; ]
此病毒是“武汉男生”的一系列新变种,病毒发作后会利用QQ聊天工具进行传播,定时给QQ网友发送包含网址的信息来诱使用户点击,该网页利用了IE的Object Data漏洞下载并运行病毒本身,该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL,IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta,那么该URL指定的文件就能够执行,无论IE设置的安全级别有多高。 5 O. R' E2 ~* S. W' p7 [8 t
( C) u8 r% ^9 \4 J. t8 L
该变种较明显的特点是,病毒运行后,除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息,并以邮件形式发给盗密码者,还会结束多种反病毒软件,以保护自身不被清除。 , [" ]0 _2 X3 j
, X5 q& @& @; F9 n8 _8 R! ~2 M& b9 m6 p
(1)如果点击病毒网页,将会显示美女图片,而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞,下载并运行leoexe.gif和leo.asp文件,其中leoexe.gif并不是图像文件,而是exe类型的病毒体,leo.asp是病毒释放器;
# E/ w$ s7 ^: g, ~! c$ p# T0 y- e' ^: z0 m8 q9 G2 J
(2)病毒一旦运行,将结束大部分杀毒软件、防火墙以及某些病毒专杀工具;
2 V! ?: P6 T- L* Q! z/ u) ~, |( S
$ \+ S& D6 k2 w: Z (3)每隔一段时间给QQ网友发送信息 # c3 P) X' V3 X7 S" k& S
( ?" f) X& W# p" {
(4)病毒运行后会复制自身到系统目录下,文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表 # d, J; w+ }' b# M) T
, \* N. D7 b! F+ h* w2 X) Z
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加: B, C; z$ d. _% x& O5 u; q
! s0 `1 \: q9 B M: e “windows update” = “%安装目录%\system\updater.exe” %安装目录% 是Windows 系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c:\windows;c:\winnt 等。
6 o% i1 { k' X) D: w# o. K/ q% G6 F7 v* S2 }2 i( c2 i8 n v
(5)修改文本文件(*.txt)关联和可执行文件关联,直接指向病毒本身,如果用户运行任意的txt文件和exe文件都会激活病毒。
) g! X: u: O3 h$ `7 @0 N
, ^6 k' t9 a. X9 V' k$ m; G. ^ (6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息,发送到指定的E-Mail信箱。
Q! w2 K) t. S$ Q7 _' Z3 w9 k; V7 N" B- ?5 Z6 `, Q# I* Y( y2 J
清除病毒 # r) i% n& U; D
2 {+ r( T9 _" s+ e. k) x 1、删除病毒在系统目录下释放的病毒文件
0 {1 n2 j" {4 k" M4 I9 y1 `5 e
& f+ e+ h( n/ l, B 2、删除病毒在注册表下生成的键值
& X. _& y" I3 V- F
/ x; X9 T- H, l7 m3 N7 s 3、运行杀毒软件,对病毒进行全面清除! R* D( x& t' z& |
四、“爱情森林”病毒 1 c, e" }! G7 i! K
6 B* }% d+ M! Q) D (一)病毒特征
3 n1 r% t8 X1 r; o2 {5 ^2 k) r3 v6 V' u& Q
该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会: % {. k, j& G6 n' P
- g A1 g" ]$ }9 y9 a" } 1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。 7 w' u5 M9 ]! Z3 U- j2 p# A! D0 F
& D) M1 A7 j8 i2 l* }5 U 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) " g% M& ^3 V/ j$ r0 W
' e( q* j# g9 J y: I
3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。
' L& c% \! Y A2 t! p, Z8 x, X
- U8 \. O5 R; \ m9 Y8 H 清除方法
. L( @4 q$ s# Y5 k) P$ {
: ^$ y8 U7 C& b$ l, c) b (1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
0 H" M. Y+ @" `- Q: Y* y
( k5 ]2 j M8 G |) x2 N1 {& l3 D- ? (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 6 T0 K8 U8 X; f- i5 ^
' Q& L5 x+ m: L% X. x# b) I/ L (二)变种一病毒特征
! ~! { n6 u5 `! B/ P- u3 f
3 q$ E8 k9 b4 q0 Y 该病毒运行后会: $ ?: \5 w* r9 m, C' I6 @
7 V' O7 _- h0 m# V# r
1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
" {8 _) a9 @# Q) ]
+ S! l4 s2 [& ~( R 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。
3 z- U% \3 `0 H3 y+ w
! U4 j( {5 t: _" Z 3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。
( k9 \, U7 T0 S
$ m/ q) k' B; A2 c2 }2 | 4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。
9 w5 E% t4 Q+ n# m% }/ ^% |# }
( M5 |+ [0 r k& q$ K) d) `' R 5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。 : U9 y# y" v, @( y/ v0 [* s# |# ~
2 ]8 }3 w3 S0 ?& d2 f ?6 j
清除方法 2 j. R' {& u6 { w+ S
6 O9 |7 b s! m% n$ d (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。 * u$ \8 ?: b& W/ a4 o4 A% ^6 [
1 C% ?. x* y, \+ u
(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 2 m2 x6 |0 J# _9 n% o) c
. }- y4 { \$ D. H1 [6 ~ (3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹) # C$ ?& {$ R; Q8 z+ Z& t# B
* g+ X% M" u6 b! @* } (4)若根目录下存在文件setup.txt或mima.txt,将其删除。 . J7 S/ w& N! e8 M. l) z4 n9 ^
+ I* A: a' ?" s
(三)变种二病毒特征 $ N# N, V1 i- b$ i% s! C
. P; B+ S; t1 f. V3 ?" ?/ Q
该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。 ; q; Q" H* @: _8 n( T' I
/ s. j* d& Q( E1 j( f
木马程序被运行后会: 2 O$ W7 ~0 ^0 k0 T6 q3 J. q
; ?) I9 F9 E$ y- h4 \ 1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。 0 N2 Q, p3 _4 _6 R- Q9 r/ ^
6 J# e! i1 F2 E3 b% E" F: K1 r 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
9 G2 V0 e5 R! R" c, u( T7 U- j0 m
3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看,很好看的”,当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。
, x1 w! q( \( p4 }, ]: q2 k+ @4 q y% c3 }, `' }
清除方法:
6 W+ S+ A; H! w/ E4 v* F1 f6 A% N8 q% l4 v* g* b
(1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 * A# A* w: {% H/ q: b8 R
7 W# X8 w( t, E/ ^$ T' [ (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
& |- Q( z% p& V& M! `3 j5 P" C* p' ^/ d4 Z0 w- H' q+ Z
(四)变种三病毒特征 2 r! g. t3 @1 P( {2 X% Q$ C
9 }4 s/ A% Z" `# v8 z4 _ 该病毒运行后会: ) E9 X0 x" i) ]
8 _( B3 z& p; z- Z9 Z9 t. n2 x 1、复制两个自己的拷贝到Windows的% f( R1 j! _ D1 ~- G; ~
|
评分
-
查看全部评分
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2012-2-6 12:07:12
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡