|
|
登录后查才能浏览下载更多咨询,有问题联系QQ:3283999
您需要 登录 才可以下载或查看,没有账号?入住遨海湾
×
“QQ尾巴”查杀
0 ~5 A+ U$ {8 i; o“QQ尾巴”是利用Windows系统下Internet Explorer的iFrame系统漏洞自动运行的一种恶意木马程序。该木马病毒会偷偷潜藏在用户的系统中,发作时会寻找QQ窗口并给在线QQ好友发送诸如“有我的照片”、“这是一个很不错的网站”或“快去这看看,里面有蛮好的东西”之类的假消息,诱惑用户点击一
9 Z+ z ]5 Y' w个网站,如果有人信以为真点击该链接的话,就会被病毒感染,然后成为毒源,继续传播。 5 p" q3 J# w4 |* f
“QQ尾巴”会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。 7 ^. I3 m- P% y; F" S
QQ收到信息如下: ! ?; A9 V' q+ I
1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。
, \ D% l1 B# I# h1 L 2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/
" B) N" g c9 S7 J 3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
8 w$ \; t1 X X8 P! ~- d% ] 4. http//www.hao***.com 帮忙看看这个网站打不打的开。
% y8 ^; Q1 {& _* V 5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?
$ r! K5 L% Z0 f4 | d8 k1。利用WINDOWS“查找”功能
" S1 O3 l& A. e+ S+ w O2 F/ ]用户从开始菜单中选择“查找→文件或文件夹”并打开系统“查找”对话框:
3 k, ?5 r9 t2 d" A9 F步骤一:切换到“名称与位置”选项卡,在“名称”和“包含文字”框中输入QQ那段“虚假消息”的文字,如一段网址或“一个很不错的网站”等,将“搜索”范围指定到C:\WINDOWS\并选中“包含子文件夹”选项。 2 k3 S% v! u7 h+ S9 N
步骤二:切换到“日期”选项卡,选中“查找所有文件”选项并在其右侧下拉菜单列表中选择“创建时间”,在“介于×年×月×日和×年×月×日”选项中选择发现QQ发生异常的上一个可以正常聊天的日期,当然也可以是浏览过QQ信息中虚假网址的当天。 4 R% }" i# {* k0 J% m
步骤三:进行完上述所有设置后,单击“查找”,Windows查找工具会分别在C:\WINDOWS\文件夹中找到一个名为Sendmess的应用程序和C:\WINDOWS\TEMP\文件夹中找到一个名为Younv的应用程序,用户在安全模式下将它们进行清除一下即可完成“QQ尾巴”木马病毒的查杀。 : q; O" b1 T6 y5 q0 F9 z
2.安装系统漏洞补丁
3 L' K7 m6 P1 X6 F8 ^' \ 由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。
! _4 W7 v2 k8 \6 D8 s “武汉男生”木马病毒
/ ~4 i# n; t% F+ R+ ?1 Q 该病毒通过聊天软件Oicq进行传播。当计算机被该病毒感染后,用户一旦运行了QQ,病毒就会不断搜寻当前已经打开的QQ"发送消息"窗口,并在找到"发送消息"窗口后,自动发送一条消息到其他用户那里,"我的相片..看看..(某网站网址)",一旦收到此消息的得用户点击了该网站的链接,就遭受了病毒的感染。
$ r t# c h3 k3 \$ |! R; a 病毒运行后在系统目录下生成三个病毒文件,分别为ABCHELP.EXE,WINhelp32.exe和DirectX.exe,其中后2个文件的属性是隐含的。(系统目录在Windows 9x/Me下为C:WindowsSystem,在Windows NT/2000下为 C:WINNTSystem32,在Windows XP下为 C:WindowsSystem32)
4 N2 S) ]' q B. b, s* h5 T, e3 B: L 病毒修改注册表,使病毒能随系统启动而自动运行。
/ b+ o' o9 V0 p0 l& i 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.exe"
% w* z1 @& h! u6 J: `( Q 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成(default)= "abchelp.exe"
& j0 n0 ^ q* w$ r# Y9 ^$ h 广大用户应及时升级杀毒软件,启动"实时监控"系统,在使用OICQ聊天时也要留意,不要轻易打开任何链接,以免遭受病毒的感染。 4 [1 P3 n! t* u5 `- w
清除病毒的相关操作
% d( x8 P& t0 y% o" {8 ] 1、删除病毒在系统目录下释放的病毒文件
8 t, \0 {# r6 Z1 _. M4 E 2、删除病毒在注册表下生成的键值
% I( ~! ]4 [7 @' j1 z. L$ A 3、运行杀毒软件,对病毒进行全面清除
C) J8 Z; b4 X; g+ Y- [4 N 防范病毒使用杀毒软件有五大禁忌 ! F( H% J* \7 b6 E
(一)忌偷懒不升级 & p& \$ i, A% h, u, \
(二)忌忽略对邮件的保护
6 j) ~+ b5 a' J5 C6 o7 ? (三)忌疏忽设置各项功能 2 ?- p: @, s5 z' c$ @
(四)忌轻信网络的安全性
3 T6 H+ d, t0 h8 x! \% J( R (五)忌轻视数据备份
0 ^. w }. g- g$ W. j0 G! o QQ“缘”病毒
5 o( Y' w: j7 a9 y& D3 |# o 病毒特征:
: }- r+ a7 o+ L$ u+ k0 F0 H+ X 该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP://WWW.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。 & a+ F, L. U4 q4 r. i. F
病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫 X# Q0 t3 V1 g, Z. g
《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。
5 A8 h6 T2 n: |* m 清除方法: 7 W7 }. E3 [0 c
" A2 e- @/ z) Y5 m 使用了下面的办法将其彻底删除。
0 A5 T% k/ U/ T7 Q! m0 e 找到下列文件:
# k0 C0 }% {! Y) f8 m C:\windows\system\noteped.exe ! Y2 |/ `5 P3 ~2 k- a
C:\windows\system\Taskmgr.exe & y9 v) k9 [& [7 I2 h; p% M; {: j
C:\Windows\noteped.exe
2 x& N1 \$ v2 I8 e& |) ~ C:\Windwos\system32\noteped.exe 1 {; z" ?3 N* b& y+ v
删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉
, q- ?& u) W' h( }# `注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"
% {! L: n, _- @: v然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run" 0 h# ?1 \, w c# C) I1 ]0 b
找到"Taskmgr" 删除
; x H( A; F6 c% `( B/ u 如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作: ' b: k# ^) i X0 B; i& A$ I0 @; r
1.在任务栏上点击鼠标右键,选择任务管理器
6 ~' i) }3 @' x6 r" k# f2 a6 p 2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。
. n9 {: |5 H- f/ { 3.点击开始-运行,输入Regedit进入注册表 8 r; K) \8 C: ~1 x" D
4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。
9 ]% k- V' \+ J3 U" K$ i 删除后重启计算机,《缘》QQ病毒宣布彻底删除。
7 T8 ^ W& u5 m8 `7 _3 r! B 另外提醒大家,尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。“爱情森林”病毒 : z) Q# S+ z' b9 s- c
病毒特征: 0 d% Z8 c& ?8 R! c3 [5 T" K
该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会: ! z" \& ]( S: m- R# ^9 [* q" B
1、复制自身到
3 t9 G z, k. ^! V) qWindows7 ^% c) I6 _* l2 p( j4 f; E
: N. j' w6 r0 ], o2 y操作系统
- o6 m" E) y/ ^9 Q1 F! l( k& f( p% k+ E3 O1 V) m
的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。
( \) k# c+ j* ]# ]* V- b9 B8 x 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
* o; Q) m" t: M% r1 B/ w 3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。
, j3 c+ J) H1 u0 D' V) ]2 F6 A% K 清除方法
# O8 o; r! u, l. I3 T 7 ` ?/ y' ?# u3 O9 H0 h# T0 ~
(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
2 z, ^( ]3 {) m% U/ Z5 f (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 1 D, [$ e: i h+ z! _: b0 x" D
变种第一病毒特征:
. ]9 Z8 q* S- p X# z) |7 I 该病毒运行后会: ! K% ]' X/ K- i: v# S) v- C
1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
6 }2 f' n, R/ y. t* n 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。 6 f$ v4 b& ?" j2 \+ ~- s6 b# H
3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。 : C; y4 G. `1 ?1 |/ x
4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。
3 j0 Y9 K4 I. b8 H. i) @ 5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。
* Q. r8 x" v5 Z0 m 清除方法 $ H3 w2 e( L: Y
7 D/ ~; B, u8 F2 y* p
(1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
4 m. f2 O: p: I# z2 k (2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 \; k+ [3 m' ]2 v
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹) % W) ]: f2 l5 R* i& v; J$ J
(4)若根目录下存在文件setup.txt或mima.txt,将其删除。 / Q$ F' I& f8 Z' ?5 O
变种第二病毒特征
, l* C1 F: ?! c/ L$ Q' k 该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。
- J7 c& A4 W# ^ q9 x 木马程序被运行后会:
3 A, ^3 X9 M t& [+ M7 ?# _ 1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。 ) P- ?8 w+ o1 l$ Q7 C
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) % ]- x# _5 g2 h
3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看,很好看的”,当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。 $ A4 V8 {/ c$ f. F! u" v5 d
清除方法: : ?2 }2 W8 j4 b+ Q, D5 F: a
(1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 # I+ L0 v2 s1 w1 s0 I
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 8 B2 U+ q( S- X
变种第三病毒特征 7 j. |- F) Z6 S, l8 j; U
该病毒运行后会: 5 V! o- w. p, S
1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。 5 h9 R& w8 @$ R* C7 J& d
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。 : ~& K5 \% p8 O, \8 \. e
3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。
/ e _4 ?8 c, p/ B4 S( ` 4、修改注册表,修改IE浏览器的默认页,开始页,起始页。 4 O/ C9 F3 }# r$ H8 [
5、该木马会通过QQ程序向其它的QQ用户发送“http://ontimer.spedia.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。 4 S% z2 D/ A/ h& A4 ^. [8 Z9 f) C6 ^
6、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。
+ W$ c2 Q1 m# O; w6 U7 H 清除方法: ) |6 e' ]8 ]# o1 g$ x9 K. D. [
! X6 t/ H& L" k6 f (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。 F( y: s/ Z7 W* I, s) X7 t
(2)删除系统文件夹(Win9x通常为Windows\\system,WinNt通常为WinNt\\system32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 , T- @ F! i0 f+ p$ Y& D& L
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为intarnet=%windowssystem%\\rundll.exe\"的键值。恢复HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
- \* @9 a8 x; O+ B8 a! Z4 J8 { (4)恢复IE的设置。打开注册表编辑器,恢复HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page的设置为原来的内容。 ; v% X. Y$ E6 v3 d0 F: ?
0 y7 }+ @+ P$ |
变种第四病毒特征 2 z5 V; V; [9 Z1 ?9 l* M4 @9 O
该木马程序用Delphi编写,并用UPX进行了压缩,但该程序需要用户的机器上安装了Delphi的动态库才能运行。该程序具有同“爱情森林”的第一个版本相同的特征,因此极有可能是病毒作者对“爱情森林”的第一个版本重新编译后生成的。木马程序被运行后会:
) N' n/ u( u) P6 R1 P 1、复制自身到Windows
6 X$ [- i) G Z
- g9 w$ h2 C/ U3 O操作系统
1 W5 o* k* o! h# d1 }- y. P/ B5 Q
的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。
. w# p1 p4 T/ ^ O4 U z: g 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
; ]4 t; i% H+ c. V! d 3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。
1 k; d) U( t' h$ M 清除方法
0 e( F I0 b( O (1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 * i- s6 }3 M3 P" Y8 i: B( K- O
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为Explorer的键值 |
|
IP卡
狗仔卡
发表于 2005-2-17 09:02:00
提升卡
置顶卡
沉默卡
喧嚣卡
鍙樿壊鍗
鏄捐韩鍗