爱华网下面提到了三种查杀工具,以我的经验,由于QQ病毒变种相当快,这三个工具更新却不那么频繁,尤其是瑞星和金山的,枉为国内著名杀软,最新的居然还是去年8月左右的毒库,完全没有效果了,所以根本不用考虑,QQ病毒专杀XP更新还相对好些(下载地址http://www.jsing.net/qqkav/),而且专杀也不大可以考虑;还有就是腾讯看到QQ病毒如此泛滥终于也忍不住,出了一个QQ医生的软件,虽然我没怎么用过,毕竟是本家所出,而且免费更新,效果应该还不错吧,可惜只针对盗号木马,如果遭遇盗号危险的推荐使用;然后就是一些木马专杀,现在网上有不少可以免费升级的木马专杀,我也就用过木马杀客,不过以我的亲身体验来说效果实在不怎么样,去年我中了QQ木马大盗木马杀客根本查不出杀不了,说到这个我又要说说杀软了,中毒之时我用的是最新病毒库的卡巴,可我信赖无比的卡巴居然毫无反映,甚至就报报毒了事,根本不解决问题,被迫换成金山毒霸,还行各种木马病毒(不止QQ大盗,甚至还有网银大盗(-_-))顺利给解决了。这下我算是明白了,别管名气多大,在国内这种环境,土鳖就是比海龟强!
最后再来总结一句,对付病毒这东西还是防患于未然好,当然好杀软防火墙以及各种专杀工具不可少,但是很多人却忽视了一些根本的问题:第一,补丁千万要打上啊,这玩意的作用无可替代的,要不中毒是迟早的事情;第二,上网的看到陌生的网站三思而后点,别人给你传的任何东西确认清楚了再收,切记切记。下面是转贴的一篇文章,我的建议是先把我上面说的东西试过了不管用再来进行下面文章中提到的东西,这些毕竟相对复杂专业些,一般人还是不要轻易动注册表之类的东东
六大病毒特征
一、“QQ尾巴”病毒
二、QQ“缘”病毒
三、“QQ狩猎者”病毒
四、“武汉男生”病毒
五、“爱情森林”病毒
六、“QQ女友”病毒
查杀工具
瑞星“QQ病毒”专杀工具
QQ病毒专杀工具XP
金山“QQ病毒”专杀工具
一、“QQ尾巴”病毒
病毒主要特征
这种病毒并不是利用QQ本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段
恶意代码,
利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进
行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访
问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运
行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会
自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。
QQ收到信息如下:
1. HoHo~~http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,
嘿嘿。也给你的朋友吧。
2.呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/
3. 想不想来点摇滚粗口舞曲,中华 DJ第一站,网址告诉你http://www.qq33**.com
.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
4. http//www.hao***.com 帮忙看看这个网站打不打的开。
5. http://ni***.126.com 看看啊.我最近照的照片~ 才扫描到网上的。看看我是不
是变了样?
清除方法
1.在运行中输入MSconfig,如果启动项中有“Sendmes*.**e”和“wwwo.exe”这两个
选项,将其禁止。在C:WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广
告词,将其删除。转到DOS下再将“Sendmes*.**e”和“wwwo.exe”这两个文件删除。
2.安装系统漏洞补丁
由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使
不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载
IE的iFrame漏洞补丁。
二、QQ“缘”病毒
病毒特征:
该病毒用VB语言编写,
采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP://WWW.**115.C
OM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。
病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫《缘》,写得不错,而且
书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,
300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至
终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的
野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上
的好友!”等消息,消息里的链接是病毒网址。
清除方法:
使用了下面的办法将其彻底删除。
找到下列文件:
C:windowssystemnoteped.exe
C:windowssystemTaskmgr.exe
C:Windowsnoteped.exe
C:Windwossystem32noteped.exe
删除掉:其中Taskmgr.exe 要先打开"window任务管理器",选中进程"Taskmgr.exe",杀
掉注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window认
为管理器"然后到注册表中找到"HKey_Local_MachinesoftwareMicrosoftwindowsCur
rentVersionRun"找到"Taskmgr" 删除
如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作:
1.在任务栏上点击鼠标右键,选择任务管理器
2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能
是小写,一般排在上面的一个是。
3.点击开始-运行,输入Regedit进入注册表
4.在注册表中找到"HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVe
rsionRun,将Taskmgr"项删除"。
删除后重启计算机,《缘》QQ病毒宣布彻底删除。
另外提醒大家,尽快更新你的IE到IE6 SP1这样可以减少很多的IE被改机会。
近来网上出现一种叫做“QQ尾巴”的木马病毒。该病毒会偷偷藏在你的系统中,当你
在使用QQ的时候,它会自动寻找QQ窗口,给在线上的QQ好友发送诸如“刚刚朋友给我发
来的这个东东。你不看看要后悔哦--”之类的假消息,如果有人信以为真点击该链接的话
,将会感染上病毒,并且成为病毒的传播源。
三、“QQ狩猎者”病毒
病毒特征:
1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网:hXXp://flas
h2.533.net "
2、当浏览带毒网站时,
会利用IE漏洞,尝试新增sys文件和tmp文件的执行关联,并下载执行病毒文件b.sys,如
果IE已经打上补丁,则会弹出一个插件对话框,引诱用户安装,安装后会将自己安装到%
Windows%Downloaded Program Files文件夹中,文件名为"b.exe",如果用户拒绝安装该
插件,会不断弹出对话框要求用户安装。
3、复制文件:
A、复制病毒体到 %SystemRoot%文件夹中,文件名为"Rundll32.exe";
B、复制病毒体为 "C:cmd.exe";
C、试图复制病毒体到共享目录中,名为"病毒专杀.exe"和"周杰伦演唱会.exe"。
4、添加注册表启动项,以随机启动在注册表的主键:HKEY_LOCAL_MACHINESoftware
MicrosoftWindowsCurrentVersionRun添加以下键值"LoadPowerProfile"="%SystemRoo
t%Rundll32.exe"
5、修改和新增以下文件关联
A、修改.exe文件的关联,每当执行exe文件时,即首先执行病毒预先复制的病毒文件
。在注册表的主键:HKEY_CLASS_ROOTexefileshellopencommand修改如下键值:默认
="C;cmd.exe %1 &*"
B、新增.sys文件的执行关联,使得在浏览带毒网站时执行病毒文件b.sys在注册表的
主键:HKEY_CLASS_ROOTsysfileshellopencommand修改如下键值:默认="""%1""%*"
C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOTtmpfileshellopen
command修改如下键值:默认="""%1"" %*"
6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名
义发送到"scmsmj@tom.com"信箱中。
7、在Win2000、WinXP、Win2003系统中,系统文件"Rundll32.exe"就在系统目录中,
因而病毒会尝试将该文件覆盖,但这几个系统都能自动保护并恢复受到破坏的系统文件,
因而病毒不能正常加载,但仍可以通过EXE关联被加载.
清除方法:
A、关闭Windows Me、Windows XP、Windows2003的“系统还原”功能;
B、重新启动到安全模式下;
C、先将regedit.exe改名为regedit.com,再用资源管理器结束cmd.exe进程,然后运
行regedit.com,将EXE关联修改为""%1"%*",再删除以下文件:C:cmd.exe、%Windows%
Download ProgramFilesb.exe。对于Win9x系统,还要删除%SystemRoot%Rundll32.exe
,再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会.exe"这两个文件,文件大小
为11184字节,如果有,将其删除。
D、清理注册表:
打开注册表,删除主键HKEY_CLASSES_ROOTsysfileshellopen、HKEY_CLASSES_RO
OTtmpfileshellopen 修改HKEY_CLASSES_ROOTexefileshellopencommand 的键值
为 "%1" %*
防范措施:
不要轻易点击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画
播放插件2.0"。
四、“武汉男生”病毒
病毒特性:
此病毒是“武汉男生”的一系列新变种,病毒发作后会利用QQ聊天工具进行传播,定
时给QQ网友发送包含网址的信息来诱使用户点击,该网页利用了IE的ObjectData漏洞下载
并运行病毒本身,该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL,I
E会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Ap
plication/hta,那么该URL指定的文件就能够执行,无论IE设置的安全级别有多高。
该变种较明显的特点是,病毒运行后,除定时发给QQ网友同样的网址外还会趁机盗取
“传奇”游戏的帐户、密码以及其他信息,并以邮件形式发给盗密码者,还会结束多种反
病毒软件,以保护自身不被清除。
(1)如果点击病毒网页,将会显示美女图片,而同时弹出一个标题为“asp空间”的不
可见窗口。此网页利用IE漏洞,下载并运行leoexe.gif和leo.asp文件,其中leoexe.gif并
不是图像文件,而是exe类型的病毒体,leo.asp是病毒释放器;
(2)病毒一旦运行,将结束大部分杀毒软件、防火墙以及某些病毒专杀工具;
(3)每隔一段时间给QQ网友发送信息
(4)病毒运行后会复制自身到系统目录下,文件名是updater.exe、Systary.exe、sys
not.exe,并在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
RunServices中添加:“windows update” =“%安装目录%systemupdater.exe” %安
装目录% 是Windows系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c:
windows;c:winnt 等。
(5)修改文本文件(*.txt)关联和可执行文件关联,直接指向病毒本身,如果用户运
行任意的txt文件和exe文件都会激活病毒。
(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息,发送到指定的E-Mai
l信箱。
清除病毒
1、删除病毒在系统目录下释放的病毒文件
2、删除病毒在注册表下生成的键值
3、运行杀毒软件,对病毒进行全面清除
五、“爱情森林”病毒
(一)病毒特征
该木马程序原始文件名为hack.exe,
用Delphi编写,并用UPX进行了压缩。木马程序被运行后会:
1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为E
xplorer.exe。由于它和Window*目录下的**plorer文件同名,因此会迷惑用户,使用户误
认为这是一个正常的系统文件。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionR
un下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运
行。(其中%windowssystem%为Windows的系统目录)
3、该木马程序还会在站点hXXp://orchid.diy.163.com/下载文件update.exe,并执行
下载下来的程序,进行其它的破坏活动。 清除方法(1)先打开任务管理器,
结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或
者重新启动到DOS下到system目录直接删除该木马程序。(2)打开注册表编辑器,删除
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值
。 (二)变种一病毒特征
该病毒运行后会:
1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常
为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionR
un下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其
中%windowssystem%为Windows的系统目录)。
3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%wi
ndowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机
会。
4、该木马会通过QQ程序向其它的QQ用户发送“hXXtp://sckiss.yeah.net,你快去看
看”的消息,诱导用户浏览含有恶意代码的网页。
5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒
作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会
弹出两个对话框,其中一个的内容为“220 welcom to coremailsystem(With Anti-Spam
) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。
清除方法
(1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为
RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrent
VersionRun下名为intarnet=%windowssystem%rundll.exe"的键值。恢复HKEY_CLASSES_RO
OTtxtfileshellopencommand的默认键值为Notepad%1。(其中%windowssystem%为Windows
的系统文件夹)
(4)若根目录下存在文件setup.txt或mima.txt,将其删除。
六、“QQ女友”病毒
病毒特征:
利用QQ发送诱惑信息,
导致用户上当。病毒发送一些诱惑新的文字和链接给在线的好友,致使不明真相的用户上
当。
1.复制自己到系统目录:
%SYSDIR%internet.exe
%SYSDIR%svch0st.exe
2.修改如下注册表键值病毒自启动的伎俩>:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
"Network Associates, Inc." = "INTERNET.EXE"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
"S0undMan" = "%SYSDIR%SVCH0ST.EXE"
3.病毒运行后将建立一个HTTP服务器,监听TCP端口20808
该功能将响应远程的下载请求,将本地的病毒文件复制到远程机器。
4.病毒搜索QQ聊天软件,向在线的好友发送诱惑信息,内容如下:
“你是那样地美,美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。
留给我印象最深的是你那双湖水般清澈的眸子,以及长长的、一闪一闪的睫毛。
像是探询,像是关切,像是问候。
这是你需要的东西:
下载地址1
http://*.*.*.*::20808//%DRIVE%c:filename.exe
下载地址2
http://*.*.*.*::20808//%DRIVE%c:filename.exe ”
上面的内容头部也可能为下列之一:
其实,我最先认识你是在照片上。照片上的你托腮凝眸,若有所思。那份温柔、那份
美感、那份妩媚,使我久久难以忘怀
远远地,我目送你的背影,你那用一束大红色绸带扎在脑后的黑发,宛如幽静的月夜
里从山涧中倾泻下来的一壁瀑布。
你蹦蹦跳跳地走进来,一件红尼大衣,紧束着腰带,显得那么轻盈,那么矫健,简直
就像天边飘来一朵红云。
你笑起来的样子最为动人,两片薄薄的嘴唇在笑,长长的眼睛在笑
春花秋月,是诗人们歌颂的情景,可是我对于它,却感到十分平凡。只有你嵌着梨涡
的笑容,才是我眼中最美的偶象。
你其有点像天上的月亮,也像那闪烁的星星,可惜我不是诗人,否则,当写一万首诗
来形容你的美丽。
你是一尊象牙雕刻的女神,大方、端庄、温柔、姻静,无一不使男人深深崇拜。
在风吹干你的散发时,我简直着魔了:在闪闪发光的披肩柔发中,在淡淡入鬓的蛾眉
问,在碧水漓漓的眼睛里……你竟是如此美丽可人!
你是花丛中的蝴蝶,是百合花中的蓓蕾。无论什么衣服穿到你的身上,总是那么端庄
、好看。
你那瓜子形的形(编者注:该字疑为病毒作者笔误),那么白净,弯弯的一双眉毛,
那么修长;水汪汪的一对眼睛,那么明亮!
其中*.*.*.*为本机地址,%filename%为下列之一:
"c:setup.exe"
"c:hello.exe"
"c:flash.com"
"c:123456.exe"
"c:pas*.**e"
"c:game.exe"
"c:my_photo.exe"
"c:update.exe"
"c:mp3.exe"
"c:666666.exe"
这些都是病毒本身。
5.鉴于该病毒的特殊性,尤其是女性的使用QQ的用户,请看到上述信息时请不要上当
。
清除方法
(1)打开任务管理器查看是否存在进程名为:INTERNET.EXE或SVCH0ST.EXE,终止它
(2)打开注册表编辑器,删除如下键值<如果存在的话>:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
"Network Associates, Inc." = "INTERNET.EXE"
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentversionRun
"S0undMan" = "%SYSDIR%SVCH0ST.EXE"
(3)将%WINSYS%目录下的文件: SVCH0ST.EXE和SVCH0ST.EXE删除
注:%WINSYS%位Windows系统的安装目录,在win9x,winme,winxp下默认为:C:WINDOWS
SYSTEM,win2k下默认为:C:WINNTSYSTEM32。
