|
|
一、“QQ尾巴”病毒 2 |! K$ f* q* P$ o3 w' I; |7 P
3 M2 P" V1 f! X4 e% x& t
病毒主要特征
" A" l: @ x ]
+ V+ v I9 |5 r% f6 S 这种病毒并不是利用QQ本身的漏洞 进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。 & q9 |, z# v& n. R4 a
: Z l8 u1 A) y! a QQ收到信息如下: : {9 r0 _* K1 j( _) B* S8 z) w' Z
" d' C: M( n9 e* k' y9 {# f
1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。
) v$ z* I* n% ]4 E8 O; C7 i* K7 X% m( y# c9 v' K# i( M
2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/ 0 y0 W" B% r# l h$ s" g E# T
' J( c/ {' x( \& X& | 3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
* Z- v# k) N0 k) s. ?2 h3 A( A* l9 a. s3 m% H1 D
4. http//www.hao***.com 帮忙看看这个网站打不打的开。 % q& n# e( H' P5 p0 m
/ f# W# C; ?" `! S! m% r6 X
5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?
& A% r) a0 b' H9 q. S, I" I, Z+ k$ V' s7 f* g" A& [2 W3 S6 d9 I9 M
清除方法
9 U4 z# r8 T! ~9 D8 ?! R! E' r' a; a6 u) h* T( q& ?: V
1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。
% E @/ U" p# J- O% s+ v! b! v; h5 N" H9 Y: U; F! z
2.安装系统漏洞补丁
9 U4 f) n5 K) p: y& M) \) L
9 Z6 m- ~. t9 a t$ Y3 |8 C 由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。
8 F/ c1 T7 B1 n' n0 X' _( o5 q. g. Y
iFrame漏洞补丁地址
/ Z! m$ a" @) _+ k: c4 L! w: Q) E" F# d6 ]$ c9 }
二、QQ“缘”病毒 4 O/ P* ?: L: ~9 l/ O1 V
: C8 C- E& T* J3 ]
病毒特征:
9 \5 `# Z4 b4 K( {1 P& S4 G* f4 W: Z+ [4 q$ W, F
该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP://WWW.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。
5 u- U2 d' Y6 U5 N8 U. `1 B& ]( O+ P$ u- x2 O3 b5 q
病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。
3 c2 K0 {% p' a, N+ Z9 M y* Q* p( m2 W
清除方法: / j+ B9 y1 p, @7 f" `
) c& n) u: }8 S$ K8 o! m" N
使用了下面的办法将其彻底删除。 % p' X5 \8 k# ? Q! L
- o5 C% o. y2 \3 v. i6 P3 ^ 找到下列文件: . r( a( D, i" A# c, r
{) l* z* K. Y# Q8 |- k9 z8 ? C:\windows\system oteped.exe $ W0 o, G7 S% `' a9 X+ i: G
6 K0 k( ]# J1 W |5 T* ]7 O1 V! s C:\windows\system\Taskmgr.exe
) v5 c) W% D) A N" p4 \7 f) @
$ o; i4 Q l: O% }* l. @) G1 M0 B C:\Windows oteped.exe
7 ~; a) Q2 k0 L/ ?8 A' A% b2 O. ?9 p
C:\Windwos\system32 oteped.exe
( K, b' L' a, q2 }3 B4 i8 p: z D- n4 Z7 R' z2 ^' P
删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉 7 X: ]7 Z0 ^1 Q+ A" Q
7 J! E2 C6 K+ ~, L$ _
注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器" ) ]5 H# z- _( B i# {( `- J: o
6 r/ o# b# f4 B. v" P. c2 j
然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"
7 |9 R# x& X a) e! X+ T; y; I* D3 Z; O& S; j1 {
找到"Taskmgr" 删除 3 y d: J* t+ }/ n" F% l
( G$ Z4 F* u) o) F 如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作: - m) w6 {+ c& @) P( a3 x8 w( n
# K) e7 o: o R" |& g2 S 1.在任务栏上点击鼠标右键,选择任务管理器 ; G+ R5 m) v G
* W$ J% b! m% ~( f1 z$ u% {
2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。 . @ g0 O# E' l/ P; s' Y
+ P1 O2 j5 |& }5 X9 o1 o: I: G 3.点击开始-运行,输入Regedit进入注册表 - w- S b( { C9 w/ W! q5 H
% m$ a# @8 u# a+ e
4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。
' m% z' h9 B$ V$ K( ]0 K3 c( ?6 _
删除后重启计算机,《缘》QQ病毒宣布彻底删除。 ( i0 o0 L4 `/ |4 r$ P3 A
: \9 ^! \( C$ h G# Z
另外提醒大家,尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。$ X. s! m8 o8 ]' Z0 N; y; [/ U h
近来网上出现一种叫做“QQ尾巴”的木马病毒。该病毒会偷偷藏在你的系统中,当你在使用QQ的时候,它会自动寻找QQ窗口,给在线上的QQ好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦--”之类的假消息,如果有人信以为真点击该链接的话,将会感染上病毒,并且成为病 四、“武汉男生”病毒
) I# M. ]3 J9 R( ]% Y I$ W
7 \% O# A( N7 o; f0 L* U 病毒特性: 6 o* j' ~* l& m& ^. D
" l+ b, C2 F/ G2 D! f1 l5 J3 l
此病毒是“武汉男生”的一系列新变种,病毒发作后会利用QQ聊天工具进行传播,定时给QQ网友发送包含网址的信息来诱使用户点击,该网页利用了IE的Object Data漏洞下载并运行病毒本身,该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL,IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta,那么该URL指定的文件就能够执行,无论IE设置的安全级别有多高。 , N* z# R/ O) J4 }/ ~
, s8 c! s) f) J' H 该变种较明显的特点是,病毒运行后,除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息,并以邮件形式发给盗密码者,还会结束多种反病毒软件,以保护自身不被清除。 - G$ G) W" v- L: b7 A
$ z$ O9 Z2 K9 Q2 z
(1)如果点击病毒网页,将会显示美女图片,而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞,下载并运行leoexe.gif和leo.asp文件,其中leoexe.gif并不是图像文件,而是exe类型的病毒体,leo.asp是病毒释放器; 0 ~# _8 C- O, Y8 Q: {
; \' Y" ^8 H+ I
(2)病毒一旦运行,将结束大部分杀毒软件、防火墙以及某些病毒专杀工具;
, I4 M5 Q2 d! O0 B* m+ S0 G& z" N! P6 j- `% D' c& [2 p* R& w f. r
(3)每隔一段时间给QQ网友发送信息 0 u' w( W! R( M! I
5 y- r8 N% o, }; t* U+ M (4)病毒运行后会复制自身到系统目录下,文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表 ) y. g E1 m' D
, p) T! Y* S8 \ U HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加:
4 C+ |# K: m7 }* Z3 |9 K6 Q. b7 a- i m% J! ^! K: j* U7 ^% O' U
“windows update” = “%安装目录%\system\updater.exe” %安装目录% 是Windows 系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c:\windows;c:\winnt 等。 # n- x+ U" R+ x. V- [' X; N
% N* v2 J, B9 U* Z0 T
(5)修改文本文件(*.txt)关联和可执行文件关联,直接指向病毒本身,如果用户运行任意的txt文件和exe文件都会激活病毒。 : k+ I# V; \2 `
% v- l( B {: G$ h3 L8 u/ G. X0 B (6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息,发送到指定的E-Mail信箱。
, A+ i, r# y, _* E
+ |) k8 ~$ s1 E2 \9 s 清除病毒 5 `) i2 |5 a& x) s3 b
$ l: b, I2 f6 a! z) `0 j
1、删除病毒在系统目录下释放的病毒文件 , t! A& J: n1 m$ b S
( Y9 K+ W9 a, v$ o
2、删除病毒在注册表下生成的键值
, E, ]6 }7 |1 e8 S6 |+ R; ~5 o) w0 D; R9 X
3、运行杀毒软件,对病毒进行全面清除
5 p$ i6 u+ V! }% G3 C/ ?四、“爱情森林”病毒
, G- s) @1 f6 y2 R0 S5 Q, w& d) B% S9 r- L# f9 \. `" \9 ^. J
(一)病毒特征 7 c7 [6 G1 O, D$ D% O4 N/ S0 J
' H6 |* ^+ P3 V/ T- f2 f0 R: G% S 该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会:
) g% l) Z: ]) I1 ]( ^4 @( X% Q4 I6 J9 d( f4 K& E
1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。 3 ^& \+ c# n4 D3 q4 R, M* X2 ]
- U3 Y! z4 s; d _9 [ 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) 2 }- c: e1 _* l6 q
$ G/ M, H1 @7 Z9 L 3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。 7 z5 P( O b- L
* _7 ?+ V2 h. l/ y9 t1 }- k) d 清除方法
1 O% f, D/ x6 V$ F' c. y. ~% q- f1 ]. f, i/ ]" t5 ]% L
(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
/ \1 ^5 X! h1 g" s2 b8 h3 ]9 z! i+ G5 n$ N0 x! h) F' @
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 9 Y: ~7 \+ O# M. g
/ o/ K% k% _/ g' \5 M& a! C
(二)变种一病毒特征
" U) q2 B, m" d" p& ?
|" Q: d9 E( B# t/ [1 v 该病毒运行后会: 8 }* L' ] z4 i# N7 B5 F, H9 ~6 F
5 d4 W5 t% v4 }; |6 g7 c" h
1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。 4 H. a' O& p; x6 y
9 ^3 b g8 u8 I' o' `- ?, f
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。
7 z0 ?2 O# U2 {! v
' o' P( X- r9 h5 B# k2 ~9 \2 p 3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。 # g% e5 M6 e/ q; W& C8 x/ \
; \! }) N: R8 l4 C% s- S& v 4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。
5 @$ u& J( y1 y B% j9 O6 I
" }+ ]) ^' `( v: u: B% a, L/ R 5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。 4 e: O9 S; |2 B: H* l" K& r
3 B. N# K) R9 ?清除方法
H! K9 r4 ^* C3 @3 B7 n" t: j1 e- J: m) S4 `$ o# s( f+ t1 m
(1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
- b; m: M' A+ v/ {7 z3 \, i
& a7 ?8 ]8 @4 v1 V8 ?+ m" \ (2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 4 h& F! h9 ]7 S- Y+ s. k
5 P- k* f5 f( |6 M" k$ z
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹) , |* _3 N; `( j
: v; I# L3 s! [) q4 {9 c* c2 A (4)若根目录下存在文件setup.txt或mima.txt,将其删除。
5 r! _5 ^6 J) e( i4 ?4 @" r( _6 U
! a, ]" Y* L L4 S4 ]! W. Y' P f (三)变种二病毒特征 2 J2 ]8 d3 Z$ }0 j. A
: y A4 E3 \9 M8 U
该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。
, r" O/ x, r$ a H
' D3 s- P* T6 ~. |$ \ 木马程序被运行后会:
+ c9 O1 s+ N- ^! u: ]1 g( Y2 g: K" z* f1 {4 m) G
1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。 , \/ Y7 P) H! G, J& p& l# a
; h0 Q. b7 [- L. m: H, m- f& y 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) ) E0 {3 ]# A. b9 p' Q, o- [1 J
3 O2 i' m2 N# Y+ m/ z* U; i1 |$ A 3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看,很好看的”,当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。
% T o+ k3 }" ]- f
0 Y$ F1 f1 B8 W y+ b+ M 清除方法:
& ]5 h1 |& r7 o, X" j M
) H. d0 H, B- i" W% r' Q* _ (1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 3 I. q R6 \# b; F
) f; J7 T% E7 u+ R8 t (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 " g B) Y: _7 y
4 Z' {& C0 e1 U! ~8 Q: F8 m( A+ R$ r
(四)变种三病毒特征 . L- e2 q% p! |. A5 h1 b! p
- N, N! `7 [# e) S. i6 }$ N
该病毒运行后会:
4 H. H$ t0 z( ?3 c6 ]4 D
% e4 S+ \ j1 }( \( o o. @( \ 1、复制两个自己的拷贝到Windows的
2 ?6 B! J* d5 V" l0 I- }- Q! z% r7 e, y |
评分
-
查看全部评分
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2012-2-6 12:07:12
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡