QQ病毒查殺完全手冊(cè)

　　“QQ尾巴”查殺 “QQ尾巴”是利用Windows系統(tǒng)下Internet E_plorer的iFrame系統(tǒng)漏洞自動(dòng)運(yùn)行的一種惡意木馬程序。該木馬病毒會(huì)偷偷潛藏在用戶(hù)的系統(tǒng)中，發(fā)作時(shí)會(huì)尋找QQ窗口并給在線(xiàn)QQ好友發(fā)送諸如“有我的照片”、“這是一個(gè)很不錯(cuò)的網(wǎng)站”或“快去這看看，里面有蠻好的東西”之類(lèi)的假消息，誘惑用戶(hù)點(diǎn)擊一個(gè)網(wǎng)站，如果有人信以為真點(diǎn)擊該鏈接的話(huà)，就會(huì)被病毒感染，然后成為毒源，繼續(xù)傳播。

　　“QQ尾巴”會(huì)自動(dòng)在發(fā)送的消息末尾插入一段廣告詞，通常都是以下幾句中的一種。

　　QQ收到信息如下：

　　1. HoHo~~ http://www.mm_.com剛才朋友給我發(fā)來(lái)的這個(gè)東東。你不看看就后悔哦，嘿嘿。也給你的朋友吧。

　　2. 呵呵，其實(shí)我覺(jué)得這個(gè)網(wǎng)站真的不錯(cuò)，你看看http://www.ktv__com/

　　3. 想不想來(lái)點(diǎn)搖滾粗口舞曲，中華 DJ 第一站，網(wǎng)址告訴你http://www.qq33_.com.。不要告訴別人 ~ 哈哈，真正算得上是國(guó)內(nèi)最棒的 DJ 站點(diǎn)。

　　4. http//www.hao__com 幫忙看看這個(gè)網(wǎng)站打不打的開(kāi)。

　　5. http://ni__126.com 看看啊. 我最近照的照片~ 才掃描到網(wǎng)上的?？纯次沂遣皇亲兞藰? 1。利用WINDOWS“查找”功能

　　用戶(hù)從開(kāi)始菜單中選擇“查找→文件或文件夾”并打開(kāi)系統(tǒng)“查找”對(duì)話(huà)框：步驟一：切換到“名稱(chēng)與位置”選項(xiàng)卡，在“名稱(chēng)”和“包含文字”框中輸入QQ那段“虛假消息”的文字，如一段網(wǎng)址或“一個(gè)很不錯(cuò)的網(wǎng)站”等，將“搜索”范圍指定到C:\WINDOWS\并選中“包含子文件夾”選項(xiàng)。步驟二：切換到“日期”選項(xiàng)卡，選中“查找所有文件”選項(xiàng)并在其右側(cè)下拉菜單列表中選擇“創(chuàng)建時(shí)間”，在“介于×年×月×日和×年×月×日”選項(xiàng)中選擇發(fā)現(xiàn)QQ發(fā)生異常的上一個(gè)可以正常聊天的日期，當(dāng)然也可以是瀏覽過(guò)QQ信息中虛假網(wǎng)址的當(dāng)天。步驟三：進(jìn)行完上述所有設(shè)置后，單擊“查找”，Windows查找工具會(huì)分別在C:\WINDOWS\文件夾中找到一個(gè)名為Sendmess的應(yīng)用程序和C:\WINDOWS\TEMP\文件夾中找到一個(gè)名為Younv的應(yīng)用程序，用戶(hù)在安全模式下將它們進(jìn)行清除一下即可完成“QQ尾巴”木馬病毒的查殺。

　　2.安裝系統(tǒng)漏洞補(bǔ)丁

　　由病毒的播方式我們知道，“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的，即使不執(zhí)行病毒文件，病毒依然可以借由漏洞自動(dòng)執(zhí)行，達(dá)到感染的目的。因此應(yīng)該敢快下載IE的iFrame漏洞補(bǔ)丁。

　　“武漢男生”木馬病毒

　　該病毒通過(guò)聊天軟件Oicq進(jìn)行傳播。當(dāng)計(jì)算機(jī)被該病毒感染后，用戶(hù)一旦運(yùn)行了QQ，病毒就會(huì)不斷搜尋當(dāng)前已經(jīng)打開(kāi)的QQ"發(fā)送消息"窗口，并在找到"發(fā)送消息"窗口后，自動(dòng)發(fā)送一條消息到其他用戶(hù)那里，"我的相片..看看..(某網(wǎng)站網(wǎng)址)"，一旦收到此消息的得用戶(hù)點(diǎn)擊了該網(wǎng)站的鏈接，就遭受了病毒的感染。

　　病毒運(yùn)行后在系統(tǒng)目錄下生成三個(gè)病毒文件，分別為ABCHELP.E_E，WINhelp32.e_e和Direct_.e_e，其中后2個(gè)文件的屬性是隱含的。(系統(tǒng)目錄在Windows 9_/Me下為C:WindowsSystem，在Windows NT/2000下為 C:WINNTSystem32，在Windows _P下為 C:WindowsSystem32)　　病毒修改注冊(cè)表，使病毒能隨系統(tǒng)啟動(dòng)而自動(dòng)運(yùn)行?！　≡贖KEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下生成run = "WINhelp32.e_e"　　在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下生成(default)= "abchelp.e_e"　　廣大用戶(hù)應(yīng)及時(shí)升級(jí)殺毒軟件，啟動(dòng)"實(shí)時(shí)監(jiān)控"系統(tǒng)，在使用OICQ聊天時(shí)也要留意，不要輕易打開(kāi)任何鏈接，以免遭受病毒的感染。

　　清除病毒的相關(guān)操作

　　1、刪除病毒在系統(tǒng)目錄下釋放的病毒文件

　　2、刪除病毒在注冊(cè)表下生成的鍵值

　　3、運(yùn)行殺毒軟件，對(duì)病毒進(jìn)行全面清除

　　防范病毒使用殺毒軟件有五大禁忌

　　(一)忌偷懶不升級(jí)

　　(二)忌忽略對(duì)郵件的保護(hù)

　　(三)忌疏忽設(shè)置各項(xiàng)功能

　　(四)忌輕信網(wǎng)絡(luò)的安全性

　　(五)忌輕視數(shù)據(jù)備份

　　QQ“緣”病毒

　　病毒特征：

　　該病毒用VB語(yǔ)言編寫(xiě)，采用ASPack壓縮，利用QQ消息傳播。運(yùn)行后會(huì)將IE默認(rèn)首頁(yè)改變?yōu)椋篐TTP://WWW._115.COM/，如果你發(fā)現(xiàn)自己的IE首頁(yè)被修改成以上網(wǎng)址，就是被該病毒感染了。

　　病毒會(huì)利用QQ發(fā)送例如“今天在網(wǎng)上下了本電子書(shū)，書(shū)名叫《緣》，寫(xiě)得不錯(cuò)，而且書(shū)的作者的名字很巧…………點(diǎn)擊下面這個(gè)地址可以下載這本書(shū)”;“1937年12月13日，300000南京人民被侵華日軍集體大屠殺!!!所有的中國(guó)人都不應(yīng)忘記這個(gè)日子，從始至終日本人都沒(méi)有改變它們的野心!中華兒女要團(tuán)結(jié)自強(qiáng)牢記歷史，我們要時(shí)刻警惕日本人的野心，釣魚(yú)島是中國(guó)的領(lǐng)土!!!臺(tái)灣是中國(guó)不可分割的一部份!!!請(qǐng)你將此消息發(fā)給你QQ上的好友!”等消息，消息里的鏈接是病毒網(wǎng)址。

　　清除方法：

　　使用了下面的辦法將其徹底刪除。

　　找到下列文件:　　C:\windows\system\noteped.e_e　　C:\windows\system\Taskmgr.e_e　　C:\Windows\noteped.e_e　　C:\Windwos\system32\noteped.e_e　　刪除掉:其中Taskmgr.e_e 要先打開(kāi)"window 任務(wù)管理器",選中進(jìn)程"Taskmgr.e_e",殺掉注意:有兩個(gè)名字叫"Taskmgr.e_e"進(jìn)程,一個(gè)是QQ病毒,一個(gè)是你剛才打開(kāi)的"Window 認(rèn)為管理器"然后到注冊(cè)表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"找到"Taskmgr" 刪除　　如果你還不明白那請(qǐng)你先找到那幾個(gè)文件，然后再按下面步驟操作:　　1.在任務(wù)欄上點(diǎn)擊鼠標(biāo)右鍵，選擇任務(wù)管理器

　　2.選擇進(jìn)程里的Taskmgr.e_e，但我后來(lái)又測(cè)試也進(jìn)行名稱(chēng)不一定是大寫(xiě)的，也有可能是小寫(xiě)，一般排在上面的一個(gè)是。

　　3.點(diǎn)擊開(kāi)始-運(yùn)行，輸入Regedit進(jìn)入注冊(cè)表

　　4.在注冊(cè)表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run，將Taskmgr"項(xiàng)刪除"?！　h除后重啟計(jì)算機(jī)，《緣》Q(chēng)Q病毒宣布徹底刪除。

　　另外提醒大家，盡快更新你的IE到IE6 SP1 這樣可以減少很多的IE被改機(jī)會(huì)。

　　“愛(ài)情森林”病毒

　　病毒特征：

　　該木馬程序原始文件名為hack.e_e，用Delphi編寫(xiě)，進(jìn)行了壓縮。木馬程序被運(yùn)行后會(huì)：

　　1、復(fù)制自身到Windows操作系統(tǒng)的system目錄(通常為windowssystem)下，并改名為E_plorer.e_e。由于它和Windows目錄下的E_plorer文件同名，因此會(huì)迷惑用戶(hù)，使用戶(hù)誤認(rèn)為這是一個(gè)正常的系統(tǒng)文件。

　　2、修改注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值E_plorer="%windowssystem%E_plorer.e_e",使木馬程序可以在開(kāi)機(jī)后自動(dòng)運(yùn)行。(其中%windowssystem%為Windows的系統(tǒng)目錄)

　　3、該木馬程序還會(huì)在站點(diǎn)http://orchid.diy.163.com/下載文件update.e_e，并執(zhí)行下載下來(lái)的程序，進(jìn)行其它的破壞活動(dòng)。

　　清除方法

　　(1)先打開(kāi)任務(wù)管理器，結(jié)束掉位于下面的那個(gè)E_plorer進(jìn)程，然后刪除系統(tǒng)目錄下的木馬程序E_plorer.e_e?；蛘咧匦聠?dòng)到DOS下到system目錄直接刪除該木馬程序。

　　(2)打開(kāi)注冊(cè)表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為E_plorer的鍵值?！　∽兎N第一病毒特征：

　　該病毒運(yùn)行后會(huì)：

　　1、復(fù)制兩個(gè)自己的拷貝到Windows的系統(tǒng)目錄(Win9_通常為Windowssystem,WinNt通常為WinNtsystem32)下，并分別更名為rundll.e_e和sysedit32.e_e。

　　2、修改注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.e_e"，使木馬程序在開(kāi)機(jī)后自動(dòng)運(yùn)行(其中%windowssystem%為Windows的系統(tǒng)目錄)。

　　3、修改注冊(cè)表，修改HKEY_CLASSES_ROOTt_tfileshellopencommand的默認(rèn)鍵值為%windowssystem%sysedit32.e_e，關(guān)聯(lián)記事本，使用戶(hù)打開(kāi)t_t文件時(shí)木馬程序能獲得運(yùn)行機(jī)會(huì)。

　　4、該木馬會(huì)通過(guò)QQ程序向其它的QQ用戶(hù)發(fā)送“http://sckiss.yeah.net，你快去看看”的消息，誘導(dǎo)用戶(hù)瀏覽含有惡意代碼的網(wǎng)頁(yè)。

　　5、該木馬還會(huì)嘗試盜取QQ用戶(hù)的密碼并將其發(fā)送至指定的郵箱。有趣的是，由于病毒作者使用了一個(gè)組件來(lái)發(fā)送郵件，因此當(dāng)木馬程序執(zhí)行發(fā)送郵件的操作時(shí)，該組件可能會(huì)彈出兩個(gè)對(duì)話(huà)框，其中一個(gè)的內(nèi)容為“220 welcom to coremail system(With Anti-Spam) 2.1”，另外一個(gè)對(duì)話(huà)框?yàn)?amp;ldquo;Cannot open file .mima.t_t”。