>
几种QQ病毒以及解决办法

几种QQ病毒以及解决办法

小心误入爱情森林,恶意网页是帮凶。8月23日下午,瑞星全球病毒监控中心首次截获了一个传染能力极强的恶性QQ病毒――“爱情森林”(Trojan.sckiss)。据瑞星公司的反病毒工程师介绍,此病毒会利用QQ软件,诱惑用户打开一恶意网页,而该网页会自动下载病毒并修改注册表产生破坏。

病毒类型:木马病毒
发作时间:随机
传播方式:邮件/网络/QQ诱骗
感染对象:网络
警惕程度:★★★★

病毒介绍:

此病毒是已知的第一个利用QQ进行传播并破坏的恶性木马病毒。它利用本机QQ,在用户不知道的情况下向用户的好友发送一句消息:“http://sckiss.yeah.net 这个你去看看!很好看的”一旦登陆此网站,便会中毒。因为此网站的主页是一个恶意网页,它会自动下载“爱情森林”病毒并执行,从而对用户计算机造成破坏。

此病毒具有以下四大特色:

一、 利用邮件包装,形成自启动邮件。
病毒的原始文件是一个名为HACK.EXE的木马病毒,病毒作者为了能使病毒“初战告捷”,迅速占领用户计算机,利用了OUTLOOK的邮件漏洞,将原始病毒包装成一个可以预览执行的病毒邮件:s.eml,然后放入一个恶意网页中,等待下载。

二、 利用QQ工具,发送伪装信息。
如果用户不小心点击或预览了病毒邮件,病毒便可执行。病毒执行时会搜索用户的QQ程序,如果用户在线的话,病毒会伪装成用户,给用户的所有在线的好友发送一条用户无法查觉的隐藏信息,此信息的内容为:“http://sckiss.yeah.net 这个你去看看!很好看的”如果用户的好友在收到了此信息后,因为好奇而点击了此链接,则会进入一个恶意网页。

三、 利用恶意网页帮凶,导致病毒泛滥。
该恶意网页用JS语言编写,利用了JAVA EXPLOIT漏洞,所以不经用户的允许,便可以悄悄运行自动下载“爱情森林”病毒邮件(s.eml)并执行。然后此恶意网页会修改用户注册表进行破坏,将用户的IE标题改为:“http://sckiss.yeah.net/爱情森林”,使用户的“运行”菜单项无法使用,并且将用户的IE默认首页改为:“http://sckiss.yeah.net/”,此恶意网页还将此网址加入注册表中的RUN自启动项。这样以来,无论用户启动计算机还是启动IE浏览器,都可以自动链接到恶意网页,感染病毒。

四、 侵占系统目录,继续“生生不息”。
“爱情森林”病毒通过QQ发送信息之后,便开始进行本机的感染。病毒首先改名为:“EXPLORER.EXE”,然后将之拷贝到WINDOWS的系统目录(SYSTEM或SYSTEM32)下,这样用户即使发现也不会起疑心,然后病毒修改注册表,在RUN的自启动项中建立一个EXPLORER的键值,将病毒路径加入其中,一旦计算机重启,病毒便可自动运行,再次进行以上感染。

爱情森林病毒的解决方法:

一、此病毒主要是以QQ诱骗为主,所以QQ的用户如果收到:“http://sckiss.yeah.net 这个你去看看!很好看的”之类的信息,请一定不要点击,以免中招。

二、由于病毒会利用一个网页来自动下载病毒,所以要想避免病毒执行最好使用瑞星杀毒软件的网页监控功能。

三、病毒会通过注册表来产生破坏,所以如果中招的用户可以用瑞星网站上提供的注册表修复工具来修复被病毒修改的注册表。

四、如果用户发现硬盘上有s.eml的文件则极有可能是病毒,请将之删除,以免产生后患。

五、要想有一个安全的计算机环境,最好是使用瑞星杀毒软件增强版。

浪漫的“爱情森林”又升级了,所有的计算机用户都应该注意,不要被浪漫的病毒骗了。

病毒类型:木马病毒
发作时间:随机
传播方式:邮件/网络
感染对象:网络
警惕程度:★★★★

病毒介绍:

1.此病毒是爱情森林的变种,当第一代的病毒网址被封掉以后,病毒又想出了新招。

2.该病毒将自己复制多份到windows的系统目录,并修改多项注册表。

3.当用户点击任何一个.exe文件时,病毒会根据特定文件名动态生成一个对话框:“某某文件发现引导区病毒,请到dos下面用A盘!”一旦当用户点确定时,文件即被删除。

4.此病毒还会修改本地的hosts文件不让用户登入一些反毒网站,使用户无法上网升级病毒库最新版本。

“爱情森林”病毒又出C版,请用户及时准备,以防不测。

病毒类型:木马病毒
发作时间:随机
传播方式:网络
感染对象:网络
警惕程度:★★★★

病毒介绍:

爱情森林病毒的又一个新变种!此病毒运行时建立5个病毒复本:WIN386.SWP、WINUPDATE.EXE、INTERNETS.EXE、WINVER.EXE、HOSTS,并将系统的交换文件替换掉,而且还伪装成系统的更新文件躲在启动目录中。另外,病毒会将可执行的关联改成病毒体,这样用户运行其他程序时会直接运行病毒体,而且有些程序运行时还会被此病毒删除。

此病毒有如下特征:

1. 建立5个病毒副本,系统启动后病毒会自动运行:
C:/WINDOWS/WIN386.SWP
C:/WINDOWS/START MENU/PROGRAMS/WINUPDATE.EXE
C:/WINDOWS/SYSTEM32/INTERNETS.EXE
C:/WINDOWS/WINUPDATE.EXE
C:/WINDOWS/WINVER.EXE
C:/WINDOWS/HOSTS。

2. 将注册表中的HKCR/exefile/shell/open/command项的内容改为:C:/WINDOWS/winupdate.exe %1 %*",这样用户双击任何程序都会不启动程序而直接启动病毒。

3. 有时一些启动的应用程序还会被此病毒莫名其妙地删除。

------------------------
病毒名称:Trojan.sckiss.176643
病毒类型:木马程序
感染长度:176643字节
危害级别:低
传播速度:慢

病毒特征:
该木马程序原始文件名为hack.exe,用Delphi编写,并用UPX进行了压缩。木马程序被运行后会:

(1)复制自身到Windows操作系统的system目录(通常为windowssystem)下,并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名,因此会迷惑用户,使用户误认为这是一个正常的系统文件。

(2)修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)

 (3)该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe,并执行下载下来的程序,进行其它的破坏活动。

手工清除该木马的方法:

 (1)先打开任务管理器,结束掉位于下面的那个Explorer进程,然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。

 (2)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。
-------------------------------------
病毒名称:Trojan.Sckiss.178752
病毒类型:木马程序
感染长度:178752字节
危害级别:高
传播速度:中

病毒特征:

该病毒运行后会:

(1)复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下,并分别更名为rundll.exe和sysedit32.exe。
  
(2)修改注册表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe",使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。

(3)修改注册表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe,关联记事本,使用户打开txt文件时木马程序能获得运行机会。

 (4)该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net,你快去看看”的消息,诱导用户浏览含有恶意代码的网页。

(5)该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是,由于病毒作者使用了一个组件来发送邮件,因此当木马程序执行发送邮件的操作时,该组件可能会弹出两个对话框,其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一个对话框为“Cannot open file .mima.txt”。

手工清除该木马的方法:

(1)打开任务管理器,结束掉RUNDLL和SYSEDIT32进程。

(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。

 (3)打开注册表编辑器,删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)

 (4)若根目录下存在文件setup.txt或mima.txt,将其删除。




--------------------------------------------------------------------------------


上一篇:详解MySQL数据库授权原则
下一篇:Win2000 Server入侵监测

相关文章: 无相关信息
热门文章:

  • ·H3C交换机查看光功率、收发光情况的命
  • ·Mac OS X 通过Terminal和shell修改DNS
  • ·无线路由器的设置使用方法
  • ·常用交换机状态查询命令
  • ·巧设无线路由获得更稳定信号
  • ·CISCO路由器的端口聚合功能详解
  • ·H3C 交换机的基础配置和命令行与无线路
  • ·云主机配置OpenStack使用spice的方法
  • ·VMware VSAN 入门与配置VSAN网络和集群
  • ·ups连接输入输出电缆注意事项
  • ·CISCO Switch port-channel追加vlan设
  • ·文件服务器安装与配置Windows Server

  • 发表点评 共有条点评
    会员 内容 时间
    用户名: 密码:
    验证码: 匿名发表