QQ病毒解析

一\"QQ尾巴"病毒

   病毒只要特征:这种病毒并不是利用QQ本身的漏洞进行传播.它是在某个网站首页上嵌入了一段恶意代码,利用IE的iframe系统漏洞自动运行恶意木马程序,从而达到侵入用户系统,进而借助QQ进行垃圾信息发送的目的.通常都是以下几句中的一种.

  QQ收到信息如下:1\hoho http://www.mm.com刚才朋友给我发来的这个东东.你不看看就后悔哦,嘿嘿.也给你的朋友吧.

  2\呵呵,其实我觉得这个网站真的不错,你看看http://www.ktv.com

  3\http://www.hao.com帮忙看看这个网站打不打的开,等等.

   清除方法:1\在运行中输入MSconfig,如果启动项中有"Sendmess.exe"和"wwwo.exe"这两个选项,将其禁止.在C:\WINDOWS一个叫qq32.INI的文件,文件里面是附在QQ后的那几句广告词,将其删除,转到-DOS下再将"Sendmess.exe"和"wwwo.exe"这两个文件删除.

  2\安装系统补丁:由病毒的传播方式我们知道,"QQ尾巴"这种木马病毒是利用IE的iframe传播的,即使不执行病毒文件,病毒依然可以借由漏洞自动执行,达到感染的目的,因此应该赶快下载IE的frame漏洞补丁.

            二\QQ"缘"病毒

   病毒特征:该病毒用VB语言编写,采用ASPacK压缩,利用QQ消息传播.运行后会将IE默认首页改变为http://www.115.com/,如果你发现自己的IE首页被修改成以上网址,就是被该病毒感染了.

   病毒会利用QQ发送例如"今天在网上下载了本电子书,书名叫<缘>,写得不错,而且书的作者的名字很巧......点击下面这个地址可以下载这本书";"1937年12月13日,300000南京人民被侵华日军集体大屠杀!所有的中国人都不应忘记这个日子,从使至终***人都没有改变他们的野心!,中华儿女要团结自强牢记历史,我们要时刻警惕***人的野心,***是中国的领土!台湾是中国不可分割的一部分!请你将此消息发给你QQ上的好友!"等消息,消息里的链接是病毒网址.

   清除方法:找到下列文件C/windows\system\noteped.exe , c\windows\systetaskmgr.exe,    c\windows\noteped.exe,                   C/windows\system32\noteped.exe 

     删除:其中Taskmgr.exe要先打开“Window任务管理器”，选中进程“
Taskmgr.exe”。杀掉时注意：有两个名字叫“Taskmgr.exe”进程，一个是QQ病毒，一个是你刚才打开的“Window认为管理器”然后到注册表中找到“HKey-Local-Machine\software\Microsoft\windows\CurrentVersion\Run”找到“Taskmgr”删除。

        如果你还不明白那么请你先找到那几个文件，然后再按下面步骤操作：

               1.在任务栏上点击鼠标右键，选择任务管理器。

               2.选择进程里的Taskmgr.exe，其位置一般排在上面。

               3.点击开始一运行，输入Regedit进入注册表。

               4. 在注册表中找到“\HKey-Local-Machine\Software\Microsoft\windows\CurrentVersion\Run”，将Taskmgr“项删除”。

       删除后重启计算机，QQ“缘”病毒宣布彻底删除。 

           三\    "武汉男生"病毒

   病毒特征:此病毒发作后会利用QQ聊天工具进行传播,定时给QQ网友发送包含网址的信息来诱使用户点击,其表现:

 1\如果点击病毒网页,将会显示美女图片,而同时弹出一个标题为"asp空间"的不可见窗口.此网页利用IE漏洞,下载并运行leoexe.gif 和leo.asp文件,其中leoexe.gif 并不是图象文件,而是exe类型的病毒体,leo.asp是病毒释放器;

  2\病毒一旦运行,将结束大部分杀毒软件\防火墙以及某些病毒专杀工具;

  3\每隔一段时间给QQ网友发送信息;

   4\病毒运行后会复制自身到系统目录下,文件名是updater.exe\systary.exe\sysnot.exe, 并在注册表 hkey-local-machine\software\microsoft\windows\currentversion\runservices中添加"windows  update"="% 安装目录 % \system\updater.exe"%  安装目录%是windows、系统的安装目录,在不同系统下该目标表现可能不同,可能的有:c;\windows;c:\winnt等.

  5\修改文本文件(.TXT）关联和可 执行文件关联,直接指向病毒本身,如果用户运行任意的TXT文件和EXE文件都会激活病毒.

   6\病毒会在计算机中搜索传奇游戏的帐户\密码以及其它信息,发送到指定的E-MAIL信箱.

  清除办法:1\删除病毒在系统目录下释放的病毒文件

                 2\删除病毒在注册表下生成的键值

                 3\运行杀毒软件,对病毒进行全面清除