|
|
登录后查才能浏览下载更多咨询,有问题联系QQ:3283999
您需要 登录 才可以下载或查看,没有账号?入住遨海湾
×
“QQ尾巴”查杀 1 S+ ^) I0 G: Q2 H
“QQ尾巴”是利用Windows系统下Internet Explorer的iFrame系统漏洞自动运行的一种恶意木马程序。该木马病毒会偷偷潜藏在用户的系统中,发作时会寻找QQ窗口并给在线QQ好友发送诸如“有我的照片”、“这是一个很不错的网站”或“快去这看看,里面有蛮好的东西”之类的假消息,诱惑用户点击一 . o1 x0 s) i, m7 Y
个网站,如果有人信以为真点击该链接的话,就会被病毒感染,然后成为毒源,继续传播。 ; A4 Z# H* e3 c/ z# P/ X
“QQ尾巴”会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。 1 H# C. d+ S6 k" B2 ~
QQ收到信息如下:
- S; @; c; l! W8 V! r6 ]8 M 1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。
2 \/ U" a& F1 a' Y, N 2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/ " c* l5 m& j5 j% D8 g
3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。 & q( p' g) t3 B& G2 m) l; O% U1 W
4. http//www.hao***.com 帮忙看看这个网站打不打的开。
; v; }8 V# q- a; _( v 5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?
* k. T4 h2 ]9 ]1。利用WINDOWS“查找”功能 2 n( V9 E3 a( h' v3 E; c
用户从开始菜单中选择“查找→文件或文件夹”并打开系统“查找”对话框:
3 |' t' T2 a' ^% V4 k6 y3 c步骤一:切换到“名称与位置”选项卡,在“名称”和“包含文字”框中输入QQ那段“虚假消息”的文字,如一段网址或“一个很不错的网站”等,将“搜索”范围指定到C:\WINDOWS\并选中“包含子文件夹”选项。
% B4 m+ w1 j# v1 d步骤二:切换到“日期”选项卡,选中“查找所有文件”选项并在其右侧下拉菜单列表中选择“创建时间”,在“介于×年×月×日和×年×月×日”选项中选择发现QQ发生异常的上一个可以正常聊天的日期,当然也可以是浏览过QQ信息中虚假网址的当天。
0 c2 L$ Q4 M) S步骤三:进行完上述所有设置后,单击“查找”,Windows查找工具会分别在C:\WINDOWS\文件夹中找到一个名为Sendmess的应用程序和C:\WINDOWS\TEMP\文件夹中找到一个名为Younv的应用程序,用户在安全模式下将它们进行清除一下即可完成“QQ尾巴”木马病毒的查杀。
4 H1 `4 [2 } s; F6 g. q0 P 2.安装系统漏洞补丁
& ?. n# @ E4 y3 W5 y' g F: y 由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。 * v( S# B% M4 F( {
“武汉男生”木马病毒 1 T# K( Y! x* _- T( i. p
该病毒通过聊天软件Oicq进行传播。当计算机被该病毒感染后,用户一旦运行了QQ,病毒就会不断搜寻当前已经打开的QQ"发送消息"窗口,并在找到"发送消息"窗口后,自动发送一条消息到其他用户那里,"我的相片..看看..(某网站网址)",一旦收到此消息的得用户点击了该网站的链接,就遭受了病毒的感染。
" { C8 ]; O" }( u# w+ i* n( } 病毒运行后在系统目录下生成三个病毒文件,分别为ABCHELP.EXE,WINhelp32.exe和DirectX.exe,其中后2个文件的属性是隐含的。(系统目录在Windows 9x/Me下为C:WindowsSystem,在Windows NT/2000下为 C:WINNTSystem32,在Windows XP下为 C:WindowsSystem32) 0 e% v) e7 ]' A9 [( Z, M8 _
病毒修改注册表,使病毒能随系统启动而自动运行。 . e2 K, s6 Y$ o1 @5 e* l a
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.exe" ' p: T* h% z/ j7 e9 w, X
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成(default)= "abchelp.exe" 0 Q c- Y6 M( ^; k, l
广大用户应及时升级杀毒软件,启动"实时监控"系统,在使用OICQ聊天时也要留意,不要轻易打开任何链接,以免遭受病毒的感染。 4 j/ a2 ]. K% W5 z9 ]3 c: ]+ ?/ z
清除病毒的相关操作 + `+ T# [+ o0 t7 Y4 X6 {% \
1、删除病毒在系统目录下释放的病毒文件 ' Q# y; P9 b) A* V( `
2、删除病毒在注册表下生成的键值 ! n- d |9 [$ g6 n0 Z8 M
3、运行杀毒软件,对病毒进行全面清除 ) H% L7 q3 y- |: w& g
防范病毒使用杀毒软件有五大禁忌
( [! \! ^5 L1 A& n8 d (一)忌偷懒不升级 1 f/ ~" r- K. E7 O1 f
(二)忌忽略对邮件的保护 # y1 H' D6 |3 M3 x6 {
(三)忌疏忽设置各项功能 ( n2 X" x K: Y, V$ ^ ]
(四)忌轻信网络的安全性
3 |9 Z1 R4 i4 }: A (五)忌轻视数据备份 `6 w) y& U- i- x
QQ“缘”病毒
( Z% s9 W' E! S 病毒特征: " o, z j4 L! j$ Z5 W$ [/ i8 \
该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP://WWW.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。 % C6 G7 p2 M0 c: w
病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫 & F5 w+ M1 m4 R i8 u9 z' ?1 [
《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。
2 f+ \: h N" \" ~9 E: B" V k 清除方法:
: F7 ~0 A1 k, h& @( Y % G; s; X( O( J9 ]3 n
使用了下面的办法将其彻底删除。
! h; c( M( X$ ~1 x0 l 找到下列文件: 5 K, K7 ?6 e+ }- l
C:\windows\system\noteped.exe
A5 n, u$ ]/ ]& U* R, T" m C:\windows\system\Taskmgr.exe : T# W! m8 {: N/ O
C:\Windows\noteped.exe 8 G& b8 l# P5 w' b
C:\Windwos\system32\noteped.exe ( n" e! U' X, C, g7 v
删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉 , a4 @- N3 N' f
注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器" ( x J. _% }, k. b3 N" _
然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"
' `8 S0 }6 o( o4 C. X, i找到"Taskmgr" 删除 - b! x* T: j! T/ |* P' k% r/ v0 [
如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作: * G: d+ w6 {6 G6 `) ^
1.在任务栏上点击鼠标右键,选择任务管理器
6 ?, C1 E+ ]1 {" {! L% _ 2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。
$ i7 n/ c7 m3 `! f 3.点击开始-运行,输入Regedit进入注册表
/ D3 f- s% M: x. @# F$ H8 Z/ q2 I 4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。
5 M# a! l+ o f' ^4 E) ?3 C* w9 U 删除后重启计算机,《缘》QQ病毒宣布彻底删除。 - L# g5 O4 U% h* Y
另外提醒大家,尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。“爱情森林”病毒
7 m" U9 R* V; e0 ~3 a6 Z" P 病毒特征:
! m" |! c: G: _$ t 该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会: 5 C0 ^9 S5 e" N* N) w, i9 W* [7 N
1、复制自身到 2 [4 B$ W- L- A. K; `/ ~
Windows7 k7 N4 j2 R- \; \4 Q2 _$ d
~9 V; ?2 h3 d+ P
操作系统
; N6 @# Z- {3 f% d; ^
: S( d6 H( j* v' V3 g s! C的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。
9 j3 I) s% m5 J% m: l 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
W% H+ n m# @) j& Y 3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。 $ M& |1 J: e% {' S- g& q) Y: O* J
清除方法 8 e4 k+ l$ c+ U4 w7 c, M2 K
0 L+ |' N+ g* c# l7 g! c
(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 0 m5 Q; g# _7 q. Z9 r3 u
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 % s& J$ k" O, S' Y7 V' q0 J
变种第一病毒特征: / ?9 R$ t! L. J6 d+ U) a& _) X) I
该病毒运行后会: 0 H/ ^2 O" A/ |4 }! x, @
1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
7 J* g; \8 B2 Z! h 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。
# y; x0 J4 R+ Y3 J% ~, N; | \5 A) h 3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。 1 f4 P. B. U- M
4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。
. j( J; M8 e" l/ M; P) [ 5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。
9 B \1 w/ \3 }. u 清除方法 ; f. E* U/ k" T: I+ o3 z/ Y
6 w+ x" l( {0 [0 ~" N0 Q
(1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。 % L$ G l! ]3 ^2 L) |$ b" ~
(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 7 h( r$ i) I2 \+ j
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹) ; _0 }6 o; U* l' u% G
(4)若根目录下存在文件setup.txt或mima.txt,将其删除。
2 a1 M/ V, v# d1 }5 i8 c3 K7 w 变种第二病毒特征
' `2 S# Y9 _' t/ f" ~: _ 该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。
0 x9 B; Z1 l) O. W2 h! {, e 木马程序被运行后会: 5 y! ^! A- m- s1 |9 J4 X% u5 T
1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。 % a$ D" B# p$ \, k/ t% z" ?8 s6 x
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
# S2 p5 S) \" `+ s 3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看,很好看的”,当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。 # S( M7 r8 l( z+ u/ T, G4 h0 T
清除方法:
9 |2 X2 u) Z6 k3 W. z (1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
$ E; p2 x- [9 e (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 + D+ B: e- @( T) y7 L
变种第三病毒特征
/ R# t: c' ]6 N6 z7 v ]# N 该病毒运行后会:
+ m+ Y1 V$ i6 e# a! `2 ]% h 1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
+ H" X. p: m# x* a 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。
2 y0 a0 q5 K! g; o 3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。 : L8 m6 M5 H0 q/ g
4、修改注册表,修改IE浏览器的默认页,开始页,起始页。 ' w+ _/ d4 T" g) R; W# x# w
5、该木马会通过QQ程序向其它的QQ用户发送“http://ontimer.spedia.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。 0 U) ^( }' S5 s) a- x3 `" U
6、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。 8 h! E. O# u8 G1 U
清除方法: 6 }8 S) f/ Z4 Y3 Q8 U
: Y& Z) u4 w6 }# | (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
8 O$ A1 v! }: L7 `1 F (2)删除系统文件夹(Win9x通常为Windows\\system,WinNt通常为WinNt\\system32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 2 _1 q, H1 t7 e+ W0 z. ]
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为intarnet=%windowssystem%\\rundll.exe\"的键值。恢复HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
4 }4 D3 }' k+ ^9 V7 U2 V$ Z5 G" K (4)恢复IE的设置。打开注册表编辑器,恢复HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page的设置为原来的内容。
0 d% _1 h8 F) k+ S- _3 } ! K A$ Y' r, H" u4 X q
变种第四病毒特征
. e- F6 |, D. y# w/ C- G2 H 该木马程序用Delphi编写,并用UPX进行了压缩,但该程序需要用户的机器上安装了Delphi的动态库才能运行。该程序具有同“爱情森林”的第一个版本相同的特征,因此极有可能是病毒作者对“爱情森林”的第一个版本重新编译后生成的。木马程序被运行后会: ( U9 r. n3 }3 ], p; ^) x9 F* r; j
1、复制自身到Windows4 }, m) A J4 L2 S( y
& `; R" x. R: ?0 P
操作系统, t0 w L4 A/ s
3 S! {! ]& r1 I; [2 |9 x# \
的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。
) \5 ^2 ]- E( ~' x% @9 {( H 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) 6 A$ ?. _1 U: K' J
3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。 " c/ V( `4 I5 U7 b
清除方法 6 C5 G" |) \( C5 c% I+ Q
(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
: M" D" h! J1 [5 ?/ l) i0 W5 F (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为Explorer的键值 |
|
IP卡
狗仔卡
发表于 2005-2-17 09:02:00
提升卡
置顶卡
沉默卡
喧嚣卡
鍙樿壊鍗
鏄捐韩鍗