|
|
一、“QQ尾巴”病毒
. M4 n* j6 N/ _ D9 b# R7 Q3 c% d: E, ]& w: r6 e
病毒主要特征
) c, F3 f; F! D6 M M7 I+ n3 P7 i1 [
这种病毒并不是利用QQ本身的漏洞 进行传播。它其实是在某个网站首页上嵌入了一段恶意代码,利用IE的iFrame系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本,那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行,就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候,该木马程序会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。
6 O4 `! U# j; {0 U( h) @' M7 }
- v; M2 S, {4 a( f1 T QQ收到信息如下:
# @! `/ c! x( q
9 l/ J$ ?" T$ o& _5 ]0 _ 1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。
% n* H: }5 `6 [' K) I6 q
+ ] ]" ]% Z, A) y3 ]1 n 2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/ + \5 I' O% R1 g9 X3 g* I
6 Q$ x: D* Z1 B/ K+ |" P6 X 3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
& T+ m B; }# j1 }+ u1 f8 \# ~- z8 g/ a6 B3 j& I
4. http//www.hao***.com 帮忙看看这个网站打不打的开。 + N, E8 t3 z% F* [' B
4 {4 C, `0 o" w5 E* ?; Q/ H, l$ J 5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样? : l5 L% g* X; w; |
- K! I. ]( O. b- z" z& n
清除方法
: n0 r5 v$ Y: C# W( X. v( X, B# W2 z7 w
1.在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项,将其禁止。在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。
& t3 c6 g( u* @' V4 K K+ w0 Q& K7 ^& T& u3 c! N
2.安装系统漏洞补丁 & U, H! G. D/ H! w+ v+ m
/ f I6 _) M9 P, F 由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。
+ g. v1 _9 L( q' i3 W3 _3 z& A3 ]. P+ Q3 ^6 ^# i9 R" T% D
iFrame漏洞补丁地址 * X& f- E6 w6 V9 B! C
) T8 U- M, C' J* }! A3 Z二、QQ“缘”病毒 ' G' q& J" ~0 p
$ t/ k; y o' q1 c' n v 病毒特征: p4 X8 y# P9 [' A' X5 v4 @5 t
/ Q: U5 F B$ A 该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP://WWW.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。 # v8 R* b* D6 e6 d; o& Y+ }- o1 a
/ {: R, ^: x2 c% G 病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。 8 [7 [! F C% V, j6 M' f
: r/ u1 _2 ]1 u! @ 清除方法:
7 C& b: t9 W& x6 s
9 T. f# S( f5 E. Y0 m 使用了下面的办法将其彻底删除。
: R. t0 G X2 o2 \" d
4 o& ]: q+ p& W2 W0 y' ?& k 找到下列文件: ! N& W/ `$ C9 m3 t
0 U" k+ O% l( m5 @! ^
C:\windows\system oteped.exe 4 d2 {( Z5 M G* d) s
0 m1 ~& A; u1 L C:\windows\system\Taskmgr.exe
: }+ R l: H/ v6 L0 _+ F
7 Q0 r8 W! b+ E' r# @, O C:\Windows oteped.exe 4 d% Y* k7 f' i7 O# m
2 Z4 G- O6 W5 l. ]% ?1 ] C:\Windwos\system32 oteped.exe
- {. N) f- e) V$ q7 }7 g. v; W h
" D1 z' K( Q% P2 u0 n+ r 删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉 7 T/ z4 x) k1 d" o/ [ w
1 K f3 ~* ^( P" v 注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"
- e* P5 Q+ E: O8 L7 w+ p2 q% K8 q5 G! M' M- b, K
然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run" 8 i) v+ C# a7 a% \7 {- Q5 V& a
5 F( }6 u8 L/ T" Z( h1 [. t 找到"Taskmgr" 删除 : G* S' _. t6 H& n# N7 x9 Z5 {
9 U& ~/ W0 G/ U9 A
如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作: 6 S1 \5 h7 y: s' d
1 c1 l+ m' G7 \9 z
1.在任务栏上点击鼠标右键,选择任务管理器
. `6 f j3 V4 {$ t4 q7 V
* c. | H/ [) O2 D5 _& r3 ? 2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。 ( n+ a& Q; S* q
L! p! D! Q6 n: D
3.点击开始-运行,输入Regedit进入注册表 7 [0 N' @' i9 G) {
: |$ j$ x% S1 Q4 B- e& S
4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。
8 N. f+ k6 U* {3 r* K4 m7 ^8 H
3 }$ L- B% c4 l8 u: o 删除后重启计算机,《缘》QQ病毒宣布彻底删除。 6 F0 M$ u/ z/ }% x- U. z
( p Q0 _2 z; r* T) t
另外提醒大家,尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。
! c6 m p4 h1 ?; n$ W- j# H1 H近来网上出现一种叫做“QQ尾巴”的木马病毒。该病毒会偷偷藏在你的系统中,当你在使用QQ的时候,它会自动寻找QQ窗口,给在线上的QQ好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦--”之类的假消息,如果有人信以为真点击该链接的话,将会感染上病毒,并且成为病 四、“武汉男生”病毒 % u. \" e% I6 q1 i& v
& L( N4 K8 B- l' K" |) D5 u+ z
病毒特性: . ?5 W' e! }7 L9 D# b: `; ^& ]4 h
4 S* ?) i. S: U* w$ e. y. Q
此病毒是“武汉男生”的一系列新变种,病毒发作后会利用QQ聊天工具进行传播,定时给QQ网友发送包含网址的信息来诱使用户点击,该网页利用了IE的Object Data漏洞下载并运行病毒本身,该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL,IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta,那么该URL指定的文件就能够执行,无论IE设置的安全级别有多高。 ' W& O) \, H- ?* q; P( }, D
/ o# j# @1 T" L: m" F
该变种较明显的特点是,病毒运行后,除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息,并以邮件形式发给盗密码者,还会结束多种反病毒软件,以保护自身不被清除。 $ N! k6 K+ a1 d* x/ g$ r
# b' t( u1 f* P9 n
(1)如果点击病毒网页,将会显示美女图片,而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞,下载并运行leoexe.gif和leo.asp文件,其中leoexe.gif并不是图像文件,而是exe类型的病毒体,leo.asp是病毒释放器; 6 P. ~3 _( C& b: c+ {: [
+ v) `/ k: P* U9 f
(2)病毒一旦运行,将结束大部分杀毒软件、防火墙以及某些病毒专杀工具;
$ j# o8 [. `2 n) A* e. P c8 W) |+ ]4 k$ l+ z3 ?
(3)每隔一段时间给QQ网友发送信息 6 i" D* H4 i& `; B
+ M7 I5 N* y9 D- h) ~+ P9 A& ^# n
(4)病毒运行后会复制自身到系统目录下,文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表
( b) ~$ `3 z3 w% K' X
7 s- |9 z( v, v4 F2 w( J HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加: 7 k& X \: o+ y& j. x6 W8 L
2 a, v& X! [+ u, M- w# M
“windows update” = “%安装目录%\system\updater.exe” %安装目录% 是Windows 系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c:\windows;c:\winnt 等。
9 N/ j9 f1 a9 U e. H+ D: X8 ?
(5)修改文本文件(*.txt)关联和可执行文件关联,直接指向病毒本身,如果用户运行任意的txt文件和exe文件都会激活病毒。 % y2 O& O( f8 [9 _, o3 ?' ^
5 ?3 [) v& y4 e+ E$ C* b8 D
(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息,发送到指定的E-Mail信箱。
) X9 v8 n" b8 Q' U x
: Y, i9 E5 J0 e9 z8 D+ H- e3 q 清除病毒 3 N& k0 n, p4 G3 o3 V, S+ M+ d
6 t+ ]; b6 L M( ~) J 1、删除病毒在系统目录下释放的病毒文件 i* y3 v7 x7 D, V
1 m+ d0 D/ M; V; h5 Q2 I4 M 2、删除病毒在注册表下生成的键值 - c/ |1 g" B) m4 y8 m" a
: u- ~! I! ?! o 3、运行杀毒软件,对病毒进行全面清除
1 o1 W) n8 c) }3 U2 B$ T四、“爱情森林”病毒
2 U' `1 t* E/ w& I
% {' |% e- `7 M/ K+ E (一)病毒特征
5 Q( } Z& z- i5 K$ a* V7 f9 C. S# K5 v6 g/ B( n
该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会:
# B. Q3 L4 l* V7 G, ~1 I/ m J* K4 r( c m
1、复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。 9 S! c& P1 A, t% A
/ u S; L# M- _0 G. a
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) . s% h, t @5 S: T
* G& d1 P0 R. w4 A
3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。 # Y4 J' |' V0 ~' c$ F8 ?
, [8 L1 }2 h; ^/ C. H% G 清除方法 5 g+ I8 ^8 f/ g! E O( D; Y9 A, h
) h) B( o" {" m' n7 v3 s, }/ ?4 P0 ^
(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
. g/ X. [% U/ [: b5 J# n' q! d
6 M, g/ G3 F9 m) D& Z# J6 o5 l (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 + s) a3 a" d7 x3 t, M
, I2 m2 h `# f( J+ l$ { (二)变种一病毒特征
7 V* Z& O5 i g5 _
1 b; \7 q6 w# b3 p8 v$ s# V, ^& Y3 k 该病毒运行后会:
" o& A; r$ ^9 D% G. v6 S3 h, a: l
' G; T! `, P0 {0 ~7 T1 ] 1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。 ) i: Z# U s( P1 {- Z' k" A
9 b% V3 u8 ]& T c3 V
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。 0 [9 @$ {& |* I7 }) Y
4 l, Z0 q6 E, c' `$ ?0 O, U7 w 3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。 ( w* g0 t5 z s8 A- M D
: W0 d& D4 J. O. I 4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。 ! Q0 H4 }8 i+ [& p9 {7 e$ \
3 Q# [: U# v4 D 5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。
" I% L$ }! g( h9 F9 s! G8 `0 I+ ~" \2 \2 E( d0 |
清除方法 1 C) F5 @% T' U& k# d
' X1 Q. a: L) S& B. h! \+ R (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
: M2 _5 r$ W1 m' P% M$ o4 }
0 Z! b- ~1 \* j1 u) W (2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 2 |* j( o6 [8 {3 q5 p5 |( z; `
; T$ n: y8 P9 z9 W3 } (3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
1 J0 o; b. o6 L0 k9 P5 Z" r, g* w% F9 f" s% w
(4)若根目录下存在文件setup.txt或mima.txt,将其删除。
( Q8 ?+ F* v' G% s- R8 m7 O! T% b4 F- p. b$ |9 @
(三)变种二病毒特征 3 R( R- y7 h- W& C4 q
: E6 g) z9 z& z; H5 _* ~8 n 该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。 : @% t" m) M8 F* P9 B
& I, e- g( k* {' g
木马程序被运行后会: 1 z; I/ O9 H, l; x5 U% L
M$ i/ H0 |& ~9 b! {2 i& w j
1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。 . ]* E$ x6 x4 f, U m( S$ c
3 n- \' g- \8 V! s& L 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
9 \* [) S( b9 p, T# F7 }& O
9 v1 C) A: L" @' [7 x 3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看,很好看的”,当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。 A9 V6 m: X9 t: T. G ~9 ^+ _; J
- r7 H( {% Z o7 D; f& c
清除方法: 3 c- r8 @. u1 M7 L1 }$ u* N$ o# ?: {
7 b% t) m7 e8 h/ u (1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 ; O0 x! N+ g/ q* V7 m0 L
4 q; F; f- T- W$ i- ~ (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
( D' e5 M, x9 p! v
6 C/ f: ]0 Q. n5 g (四)变种三病毒特征 6 o% D2 d8 m& j& H+ x$ y* H/ q; N
+ X: I) R( o1 w) {, h! O
该病毒运行后会:
. Z* T5 d$ W; z. @2 B5 ~- T
/ W8 \; D" ^$ }0 `3 j4 R 1、复制两个自己的拷贝到Windows的$ G: p' t" B4 r* j/ O' n/ e
|
评分
-
查看全部评分
|
|手机版|小黑屋|☆我要吧☆
( 豫ICP备13016831号-1 )
狗仔卡
发表于 2012-2-6 12:07:12
提升卡
置顶卡
锁贴卡
解贴卡
变色卡
显身卡