|
|
登录后查才能浏览下载更多咨询,有问题联系QQ:3283999
您需要 登录 才可以下载或查看,没有账号?入住遨海湾
×
“QQ尾巴”查杀 0 M! E. f% Z T+ G* R+ s2 x( d+ ^* m& [$ S
“QQ尾巴”是利用Windows系统下Internet Explorer的iFrame系统漏洞自动运行的一种恶意木马程序。该木马病毒会偷偷潜藏在用户的系统中,发作时会寻找QQ窗口并给在线QQ好友发送诸如“有我的照片”、“这是一个很不错的网站”或“快去这看看,里面有蛮好的东西”之类的假消息,诱惑用户点击一 & N0 ^ z7 w' F# _: J* F
个网站,如果有人信以为真点击该链接的话,就会被病毒感染,然后成为毒源,继续传播。 4 ^- g7 ^3 t V% J
“QQ尾巴”会自动在发送的消息末尾插入一段广告词,通常都是以下几句中的一种。 . r* L# z7 P4 \
QQ收到信息如下: 9 S, Q- V: Z; F/ B9 M
1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦,嘿嘿。也给你的朋友吧。 E5 T2 E4 V8 i# x! L# W
2. 呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv***.com/ ~8 Y; z7 T5 i+ n
3. 想不想来点摇滚粗口舞曲,中华 DJ 第一站,网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈,真正算得上是国内最棒的 DJ 站点。
' R1 `( T& n. o/ Y ?1 u3 `+ u 4. http//www.hao***.com 帮忙看看这个网站打不打的开。
2 X+ W- ]( R( \" P9 o 5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?
& z# e$ e* v2 G/ K6 ]: R8 ]1。利用WINDOWS“查找”功能 ! o/ Z# L8 A* @1 {) }2 \5 u( B
用户从开始菜单中选择“查找→文件或文件夹”并打开系统“查找”对话框:
3 c- _8 {) w @% T1 _8 o0 t2 `- M0 b步骤一:切换到“名称与位置”选项卡,在“名称”和“包含文字”框中输入QQ那段“虚假消息”的文字,如一段网址或“一个很不错的网站”等,将“搜索”范围指定到C:\WINDOWS\并选中“包含子文件夹”选项。 6 l0 j1 `6 ^7 H6 v
步骤二:切换到“日期”选项卡,选中“查找所有文件”选项并在其右侧下拉菜单列表中选择“创建时间”,在“介于×年×月×日和×年×月×日”选项中选择发现QQ发生异常的上一个可以正常聊天的日期,当然也可以是浏览过QQ信息中虚假网址的当天。 / B- H5 r! p4 M5 u! v
步骤三:进行完上述所有设置后,单击“查找”,Windows查找工具会分别在C:\WINDOWS\文件夹中找到一个名为Sendmess的应用程序和C:\WINDOWS\TEMP\文件夹中找到一个名为Younv的应用程序,用户在安全模式下将它们进行清除一下即可完成“QQ尾巴”木马病毒的查杀。 ' k/ M( J- Q( d) [6 V) [
2.安装系统漏洞补丁
! O; ]1 j, a% I* h 由病毒的播方式我们知道,“QQ尾巴”这种木马病毒是利用IE的iFrame传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。 4 s0 B4 C% w* B' O7 @" F: w$ l
“武汉男生”木马病毒
9 E6 A5 b; Q' J2 B+ v1 G4 K% H 该病毒通过聊天软件Oicq进行传播。当计算机被该病毒感染后,用户一旦运行了QQ,病毒就会不断搜寻当前已经打开的QQ"发送消息"窗口,并在找到"发送消息"窗口后,自动发送一条消息到其他用户那里,"我的相片..看看..(某网站网址)",一旦收到此消息的得用户点击了该网站的链接,就遭受了病毒的感染。
& Y9 `0 ^ ]; D: [6 j! v3 \ 病毒运行后在系统目录下生成三个病毒文件,分别为ABCHELP.EXE,WINhelp32.exe和DirectX.exe,其中后2个文件的属性是隐含的。(系统目录在Windows 9x/Me下为C:WindowsSystem,在Windows NT/2000下为 C:WINNTSystem32,在Windows XP下为 C:WindowsSystem32)
* A; g+ x9 f% E. m& h$ q, ~# N 病毒修改注册表,使病毒能随系统启动而自动运行。 $ V0 z) e) g; T" j$ [0 @2 m
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.exe" : y* c- W. Y. L
在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成(default)= "abchelp.exe" ! h9 x) K/ u' n Z. B- |. [) P
广大用户应及时升级杀毒软件,启动"实时监控"系统,在使用OICQ聊天时也要留意,不要轻易打开任何链接,以免遭受病毒的感染。
2 D+ \% V; e" b% D. g' @ 清除病毒的相关操作 $ Q, f! ~ @- h
1、删除病毒在系统目录下释放的病毒文件 5 T* ]: e3 G- R3 \5 d2 {% g+ z; v
2、删除病毒在注册表下生成的键值
2 b8 Q: K7 R% Z c3 B2 W. K 3、运行杀毒软件,对病毒进行全面清除
2 j% O( T4 X2 v5 X/ o0 t% U 防范病毒使用杀毒软件有五大禁忌
& r3 C1 R6 V4 y+ V- |2 X( y* P (一)忌偷懒不升级 . U) P- ]* ?" t
(二)忌忽略对邮件的保护
; {* q+ s& n" p1 n: V Y7 Z3 v0 B0 n8 A (三)忌疏忽设置各项功能 + w& U0 H7 {& g6 d, X6 L" S d
(四)忌轻信网络的安全性 8 A4 P8 J; |9 }" v8 j
(五)忌轻视数据备份
' L- h4 U) Q. R/ R8 X QQ“缘”病毒 7 Y% B+ a! p; D' X5 L& h8 b* t
病毒特征:
1 X6 X6 n2 u6 Q2 B, h `" U# M 该病毒用VB语言编写,采用ASPack压缩,利用QQ消息传播。运行后会将IE默认首页改变为:HTTP://WWW.**115.COM/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了。 0 A; x s; l. [/ t2 J$ l
病毒会利用QQ发送例如“今天在网上下了本电子书,书名叫 + c3 F- h5 C. H1 j' C
《缘》,写得不错,而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日,300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子,从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史,我们要时刻警惕日本人的野心,钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息,消息里的链接是病毒网址。
$ T+ }, W+ K$ i/ x3 W/ x 清除方法:
: M. ]2 j6 p) T " P: f. c2 p. [; V. u' O! q6 Y# O
使用了下面的办法将其彻底删除。 2 I) @) P5 e( i, P u q
找到下列文件: 8 \ @0 R% T' N0 F" [
C:\windows\system\noteped.exe
; C& l2 ?: Q# N6 N: E+ ^( `) i/ \ C:\windows\system\Taskmgr.exe 9 S* m6 c3 K) m
C:\Windows\noteped.exe ) D7 b8 J. z- \+ U! R
C:\Windwos\system32\noteped.exe + O) N# |7 X( u+ c6 i8 z) |
删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉
8 p. L3 b. z* W" a4 Y' ^! O注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器" f- L8 j% y* H4 @5 ?
然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run" 3 L/ h9 d( m2 b7 s
找到"Taskmgr" 删除 6 V! x; Z* `# R7 ?* D
如果你还不明白那请你先找到那几个文件,然后再按下面步骤操作: % u& z4 `' @" ^! H, T. E) I& X
1.在任务栏上点击鼠标右键,选择任务管理器 4 _3 ^/ n$ f4 k W
2.选择进程里的Taskmgr.exe,但我后来又测试也进行名称不一定是大写的,也有可能是小写,一般排在上面的一个是。 $ ?8 w3 Y& w3 c. g
3.点击开始-运行,输入Regedit进入注册表 2 x9 J6 w; {: X J4 J, ]$ I
4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,将Taskmgr"项删除"。 U! F G0 T2 d( ]% f
删除后重启计算机,《缘》QQ病毒宣布彻底删除。 ! y* `. p, }: A9 X" O4 y. B- c
另外提醒大家,尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。“爱情森林”病毒
7 m) q q2 e" Y0 Z5 F9 v8 r 病毒特征:
! R6 {( t6 X3 s4 Y J9 J3 Q" b0 ~4 M 该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会: - q$ o& J3 x/ c: s& i0 f
1、复制自身到 - i; t" W9 G6 U2 L
Windows) K5 i2 ]9 g0 O5 v1 D1 [; S# f/ w
. E- D+ a+ r* p# R& T操作系统
8 Q6 m# l! j! o' P% a2 W; X: i; ]3 E
的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。
. P6 N6 z0 C+ W* A& S/ P 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) - L2 C9 y/ U+ O9 e, ~1 e8 f
3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。
4 z5 J' c1 Y8 b1 R' o. H 清除方法
1 E( t. C' c3 r0 Y( n & N e1 F% J+ Y1 [1 j8 h, [/ p
(1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 3 T- C, g1 A8 s% d* O
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
2 v( w* J C3 X$ Q; M 变种第一病毒特征: : b0 ~8 f0 Z3 a; o; d) O1 N
该病毒运行后会:
; V* k2 B* h3 C 1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
j/ [6 B7 o, w; [- k* z 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。 : F4 t2 J0 K0 |" F6 D9 U
3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。
- q, H( Q7 h* X* B 4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。
$ B: c j# C9 v7 [$ ^2 I 5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。 9 z& n/ q4 z+ C( Z; R- ~
清除方法
$ s$ Q* N, m. P9 Z g% m ; W1 D6 n3 k& x2 |
(1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。 ! f7 C1 O! {8 m) ^
(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 ' P7 N* P r# v5 n4 V. \2 r
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)
9 g3 U. m4 y. E! u. l& L (4)若根目录下存在文件setup.txt或mima.txt,将其删除。
0 b5 V8 m _$ H5 L 变种第二病毒特征 7 t# J# h' O2 s, }+ V
该木马程序被包装在一个名为s.eml的邮件中,并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时,邮件中的木马程序(Hack.exe)就会自动运行。 " ?2 U2 t/ ~0 _1 r6 @
木马程序被运行后会: 3 ~& h+ X* r# n% o% ^ Z" [) `9 m
1、复制自身到Windows系统目录(通常为windowssystem)下,改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会使用户误认为这是一个正常的系统文件。
+ L3 v8 c- C! G4 {9 X e 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录) 9 _! f% x8 [4 v, f" u/ E
3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看,很好看的”,当用户点击该网址浏览时,木马程序就会被再次激活,从而使该木马通过QQ聊天工具不断地传播自己。 2 j- M- |0 M9 `! ?
清除方法: ) ~6 m) w' \) q5 A
(1)打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 : ^6 i& U: u1 X3 V/ i: `& |
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
, E( W0 H! c/ O3 } v 变种第三病毒特征
2 w3 X8 e) O. K0 t 该病毒运行后会:
" l, z6 P- |4 X- q# Y8 a" H) G1 M 1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
6 s' h, d8 h4 J% k) G P 2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。 ! G7 `: e1 B7 I( C* B
3、修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。
) d- C* \) M6 f9 L* H/ J' ~" i 4、修改注册表,修改IE浏览器的默认页,开始页,起始页。
/ K& N, a9 g, d: G' p9 i 5、该木马会通过QQ程序向其它的QQ用户发送“http://ontimer.spedia.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。
# G% a9 t7 X# r U% t5 d 6、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。
# D4 V8 i+ c/ V& I5 m9 ^6 z7 S 清除方法:
* v$ X: i9 N& [& {
% _) M2 K% P8 a8 Z J3 B (1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。
' i. Z9 f; N' l$ A$ i (2)删除系统文件夹(Win9x通常为Windows\\system,WinNt通常为WinNt\\system32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。 - ]! p- X4 X4 I+ n% a. O" z
(3)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为intarnet=%windowssystem%\\rundll.exe\"的键值。恢复HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹) $ h: ?6 \; F' g
(4)恢复IE的设置。打开注册表编辑器,恢复HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL,HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page的设置为原来的内容。
) f8 \1 \: C9 M! Q% m; F ) f/ g& A3 R8 y# q! Y
变种第四病毒特征 ' v$ m0 |6 M' `1 w8 {
该木马程序用Delphi编写,并用UPX进行了压缩,但该程序需要用户的机器上安装了Delphi的动态库才能运行。该程序具有同“爱情森林”的第一个版本相同的特征,因此极有可能是病毒作者对“爱情森林”的第一个版本重新编译后生成的。木马程序被运行后会:
( o! |0 s8 X. C2 p 1、复制自身到Windows/ ]) N9 R" v5 F' m0 E
' }4 R- c) H4 b+ L; J! n7 M
操作系统
* x- h* e k. \1 j% G c8 I6 _$ h5 B: s
的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。 , b% M0 m7 I% I5 I
2、修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
6 c$ P" O" M$ s9 J( F 3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。 * K0 F& `9 \) ]3 w! z% l
清除方法
& J2 F9 o+ v/ q& o- I- c6 L (1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 ) S* g& W! K* l A
(2)打开注册表编辑器,删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为Explorer的键值 |
|
IP卡
狗仔卡
发表于 2005-2-17 09:02:00
提升卡
置顶卡
沉默卡
喧嚣卡
鍙樿壊鍗
鏄捐韩鍗