|
|
登录后查才能浏览下载更多咨询,有问题联系QQ:3283999
您需要 登录 才可以下载或查看,没有账号?入住遨海湾
×
“QQ尾巴”查杀 ' K- k+ q7 q ~5 N1 L
“QQ尾巴”是利用Windows系统下Internet Explorer的iFrame系统漏洞自动运行的一种恶意木马程序。该木马病毒会偷偷潜藏在用户的系统中,发作时会寻找QQ窗口并给在线QQ好友发送诸如“有我的照片”、“这是一个很不错的网站”或“快去这看看,里面有蛮好的东西”之类的假消息,诱惑用户点击一
1 u/ s* _4 t/ }0 V1 Q" S4 E个网站,如果有人信以为真点击该链接的话,就会被病毒感染,然后成为毒源,继续传播。
0 F" Y9 r, w; M' u9 h, t8 h“QQ尾巴”会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。
% @) u$ o& b3 ]( A, S1 I6 @( F QQ收到信息如下:
/ p6 L! s! N: q+ \3 u! L3 Q 1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。
) q( t0 d7 C/ g 2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/ ; w- H7 G9 a8 i' _
3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。 ; W3 z/ S: k5 g; I+ O
4. http//www.hao***.com 帮忙看看这个网站打不打的开。 3 n, n# D' r; e9 P+ z0 L
5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样? 2 @- X& e( O) M3 [
1。利用WINDOWS“查找”功能
1 ^# t2 j, W9 s. b; v) W用户从开始菜单中选择“查找→文件或文件夹”并打开系统“查找”对话框: $ \/ m$ s5 X# J0 ~' v& |: Y% [- G
步骤一:切换到“名称与位置”选项卡,在“名称”和“包含文字”框中输入QQ那段“虚假消息”的文字,如一段网址或“一个很不错的网站”等,将“搜索”范围指定到C:\WINDOWS\并选中“包含子文件夹”选项。 0 h* V! K3 Q! D6 h3 K, P
步骤二:切换到“日期”选项卡,选中“查找所有文件”选项并在其右侧下拉菜单列表中选择“创建时间”,在“介于×年×月×日和×年×月×日”选项中选择发现QQ发生异常的上一个可以正常聊天的日期,当然也可以是浏览过QQ信息中虚假网址的当天。
* S# `4 y- ~/ v& F步骤三:进行完上述所有设置后,单击“查找”,Windows查找工具会分别在C:\WINDOWS\文件夹中找到一个名为Sendmess的应用程序和C:\WINDOWS\TEMP\文件夹中找到一个名为Younv的应用程序,用户在安全模式下将它们进行清除一下即可完成“QQ尾巴”木马病毒的查杀。 0 \: S. K/ c& P7 \% T
2.安装系统漏洞补丁
" b9 ?" A+ D4 @0 y$ M 由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。
9 Y$ j- l% P8 G, ?4 w “武汉男生”木马病毒 / j2 O! q. |9 M/ {' ?7 U
该病毒通过聊天软件Oicq进行传播。当计算机被该病毒感染后,用户一旦运行了QQ,病毒就会不断搜寻当前已经打开的QQ"发送消息"窗口,并在找到"发送消息"窗口后,自动发送一条消息到其他用户那里,"我的相片..看看..(某网站网址)",一旦收到此消息的得用户点击了该网站的链接,就遭受了病毒的感染。
- d6 M% f0 E# L% J$ M8 x! f9 \/ @ 病毒运行后在系统目录下生成三个病毒文件,分别为ABCHELP.EXE,WINhelp32.exe和DirectX.exe,其中后2个文件的属性是隐含的。(系统目录在Windows 9x/Me下为C:WindowsSystem,在Windows NT/2000下为 C:WINNTSystem32,在Windows XP下为 C:WindowsSystem32)
* y9 r" a# q* @ 病毒修改注册表,使病毒能随系统启动而自动运行。 3 X5 y: _- _8 K) ?& t
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.exe" ) d# ^2 A8 U! j# Z
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成(default)= "abchelp.exe"
2 Z8 s$ l# C6 v+ N; ^" U 广大用户应及时升级杀毒软件,启动"实时监控"系统,在使用OICQ聊天时也要留意,不要轻易打开任何链接,以免遭受病毒的感染。 0 O( [. r z0 z) k& H! N
清除病毒的相关操作
. |) C! S- C9 c6 b/ u 1、删除病毒在系统目录下释放的病毒文件
& e( S( U. w% G+ E, n 2、删除病毒在注册表下生成的键值 6 j" r/ R6 M1 S$ p" g0 }
3、运行杀毒软件,对病毒进行全面清除 & s6 f# Z& T) X
防范病毒使用杀毒软件有五大禁忌
% ~& S2 M- b" e (一)忌偷懒不升级
! C! S! B4 \& y" D (二)忌忽略对邮件的保护
6 V0 ?0 X7 {1 [. f (三)忌疏忽设置各项功能 5 v9 o" m' ?- u) t& F' [
(四)忌轻信网络的安全性
; {$ [5 X9 w7 ]# L, S. U$ I (五)忌轻视数据备份
, C m6 E; B C/ W# b- G4 }4 o QQ“缘”病毒
3 y4 x5 @- W, j/ \ V9 K! M. F 病毒特征: 2 p9 J# u) H* O2 F1 Y5 i
该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP://WWW.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。
5 j s) \8 r1 W$ | 病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫 7 C/ u3 h, V. ?9 x' X
《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。
# s/ q% T# y: p* S6 P 清除方法:
" c8 u. ?( d! p- M 1 i6 L7 V3 M# C# O, N
使用了下面的办法将其彻底删除。
4 t9 k! r9 f6 w1 a" K0 M 找到下列文件:
& x2 s+ H2 O" e9 b" m/ J9 `' o C:\windows\system\noteped.exe $ o6 k$ x# r0 }- Q: B! ~' A. P: F. O
C:\windows\system\Taskmgr.exe 7 C3 Y4 R# m: M6 k1 E( w b' K
C:\Windows\noteped.exe . i( |% B0 a! h0 @' `0 A$ c0 p8 d' W
C:\Windwos\system32\noteped.exe 0 ^4 ~4 L3 r' ^- e
删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉 : q& g3 `; G/ a! Y8 C) D
注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"
2 q4 `$ k; ?2 S; f7 D1 R然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run" 1 i8 z+ i( W5 A0 w4 U
找到"Taskmgr" 删除
1 { O+ d+ p( ^8 y 如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作: 4 ]2 s' y& c9 U. W
1.在任务栏上点击鼠标右键,选择任务管理器
L+ O3 e* [( R4 ~, e- @ 2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。 9 F O4 O( N' O" p/ V6 l
3.点击开始-运行,输入Regedit进入注册表 2 H5 S3 C+ ~* O
4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。
5 M! O% b2 ]2 e! z/ P2 k 删除后重启计算机,《缘》QQ病毒宣布彻底删除。
* k- e, r( a" d% G% ?) ? 另外提醒大家,尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。“爱情森林”病毒
0 n" W6 j& q& [! ~ 病毒特征: ( A' y) Q( e% p' h
该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会:
$ \+ Q% I4 k/ S+ e8 C7 L: l2 Z, \ 1、复制自身到
" w- Q, l+ G3 C3 f% OWindows
( e" X- A! ]6 R' `, L3 b8 I$ d; K
9 n* [! j4 X- z+ g( F操作系统* T. O7 h- j; w- N7 y% y9 K
2 f% y; z! \/ N& i. I8 H的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。 ( ]; S6 j( G( y& y; Z$ |
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
' J9 E9 i7 A: U& ~ 3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。 , _+ O6 N- u( F' j6 p
清除方法
7 u# e4 ]: o9 b7 P9 k- N7 h" q1 K
& Y/ u9 E _" I" ? (1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 8 S [( I0 y, y2 M5 M1 O0 J
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
2 B- G1 T8 r% e8 K! ~" l2 w7 f: O 变种第一病毒特征:
9 h) E+ X2 K ]# E( Q3 |* A 该病毒运行后会:
' T8 L( U5 U, J, ~" C' I9 n0 }" W 1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。 1 l7 v- I/ \# m) f* P
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。
2 f9 Q9 M1 r0 w$ a 3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。 2 @5 ]" W. }8 a& y
4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。
) d" ~ x: h b$ o7 K* G 5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。
' d* a- T/ M7 b4 q3 ]7 W( G 清除方法 8 l( y5 i5 U4 S
) R' I1 h) v1 a! h. Z- K (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
/ S/ ^2 d: ~) z (2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 " X: c3 P6 W9 M' x% a
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
7 F. G' v- N7 O1 l) |% A (4)若根目录下存在文件setup.txt或mima.txt,将其删除。 2 n2 v- t+ K& X- [8 N
变种第二病毒特征 : D% b1 _7 \6 [
该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。
/ Z& H1 q/ i2 z& l 木马程序被运行后会:
$ u- @" C6 j6 N( o) L& E6 d 1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。
1 t6 o3 O( ?+ u, ] 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
* W7 u6 g- Z* {* }7 i& O& A1 W 3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看,很好看的”,当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。 q: O4 n( X E6 B) u3 Z
清除方法:
! A$ p7 \3 `) @0 B: s (1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
! e8 a: Y3 u* U& }+ x8 { (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 X6 d* ]( a# r P7 Z$ s- O/ ?" H
变种第三病毒特征
1 d9 V$ V0 p8 s7 j `" k 该病毒运行后会: 2 f9 n; ~: S/ m
1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
6 s) r7 v! S8 @- W, m0 \5 Q 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。 ( L" P7 X8 j9 m8 H6 _
3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。
0 v0 g$ F) \; n s8 K+ u) O 4、修改注册表,修改IE浏览器的默认页,开始页,起始页。
d& f" i3 a0 \ _ 5、该木马会通过QQ程序向其它的QQ用户发送“http://ontimer.spedia.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。 5 q) N1 H8 m. i
6、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。
: D; d D6 T1 z `6 i9 z" [6 g/ Y" \ 清除方法: " c4 v& d/ `* I5 @7 U* h4 K/ a/ m3 L
) G' h2 }8 s2 G" J6 _' n (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
9 e- }, d- { L" p$ U4 w (2)删除系统文件夹(Win9x通常为Windows\\system,WinNt通常为WinNt\\system32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 , ^2 o7 j% v3 ?: [& o) X
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为intarnet=%windowssystem%\\rundll.exe\"的键值。恢复HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹) * K, v1 K- E+ D( l" a. j, x
(4)恢复IE的设置。打开注册表编辑器,恢复HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page的设置为原来的内容。
! K+ P% [( }# P1 m% ^& }: J2 ~ o
9 k0 y+ R1 m* }: J; v8 ^; B 变种第四病毒特征 $ X+ M% Z8 `. B$ f/ C0 Y; N3 r6 F
该木马程序用Delphi编写,并用UPX进行了压缩,但该程序需要用户的机器上安装了Delphi的动态库才能运行。该程序具有同“爱情森林”的第一个版本相同的特征,因此极有可能是病毒作者对“爱情森林”的第一个版本重新编译后生成的。木马程序被运行后会: 2 \, u+ |/ w" @" g9 v( z Z7 a
1、复制自身到Windows; T2 C3 G/ o) n
- j i' q6 k- _" V1 T0 j% U
操作系统
/ q2 C0 L$ m0 U' f- @4 i, k# u. T! \' }6 s% k7 C
的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。 1 h U' e3 q+ z1 }- s
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) 1 o- S+ Y+ b6 y
3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。 . e, L. r6 k5 x9 r
清除方法
. U7 L/ `9 h w+ z (1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
4 L, t( Z! k5 G$ `2 f9 W( J (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为Explorer的键值 |
|
IP卡
狗仔卡
发表于 2005-2-17 09:02:00
提升卡
置顶卡
沉默卡
喧嚣卡
鍙樿壊鍗
鏄捐韩鍗