QQ病毒特征及清除方法有哪些
QQ病毒特征及清除方法有哪些
電腦病毒看不見,卻無處不在,有時防護措施不夠或者不當操作都會導(dǎo)致病毒入侵。那么對于qq病毒,有哪些特征呢?怎么解決?下面一起看看!
具體介紹
一、“QQ尾巴”病毒
病毒主要特征
這種病毒并不是利用QQ本身的漏洞 進行傳播。它其實是在某個網(wǎng)站首頁上嵌入了一段惡意代碼,利用IE的iFrame系統(tǒng)漏洞自動運行惡意木馬程序,從而達到侵入用戶系統(tǒng),進而借助QQ進行垃圾信息發(fā)送的目的。用戶系統(tǒng)如果沒安裝漏洞補丁或沒把IE升級到最高版本,那么訪問這些網(wǎng)站的時候其訪問的網(wǎng)頁中嵌入的惡意代碼即被運行,就會緊接著通過IE的漏洞運行一個木馬程序進駐用戶機器。然后在用戶使用QQ向好友發(fā)送信息的時候,該木馬程序會自動在發(fā)送的消息末尾插入一段廣告詞,通常都是以下幾句中的一種。
QQ收到信息如下:
1. 剛才朋友給我發(fā)來的這個東東。你不看看就后悔哦,嘿嘿。也給你的朋友吧。
2. 呵呵,其實我覺得這個網(wǎng)站真的不錯, 3. 想不想來點搖滾粗口舞曲,中華 DJ 第一站,不要告訴別人 ~ 哈哈,真正算得上是國內(nèi)最棒的 DJ 站點。
4. http//www.haox.com 幫忙看看這個網(wǎng)站打不打的開。
看看啊. 我最近照的照片~ 才掃描到網(wǎng)上的??纯次沂遣皇亲兞藰?
清除方法
1.在運行中輸入MSconfig,如果啟動項中有“Sendmess.exe”和“wwwo.exe”這兩個選項,將其禁止。在C:\WINDOWS一個叫qq32.INI的文件,文件里面是附在QQ后的那幾句廣告詞,將其刪除。轉(zhuǎn)到DOS下再將“Sendmess.exe”和“wwwo.exe”這兩個文件刪除。
2.安裝系統(tǒng)漏洞補丁
由病毒的播方式我們知道,“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的,即使不執(zhí)行病毒文件,病毒依然可以借由漏洞自動執(zhí)行,達到感染的目的。因此應(yīng)該敢快下載IE的iFrame漏洞補丁。
iFrame漏洞補丁地址
二、QQ“緣”病毒
病毒特征:
該病毒用VB語言編寫,采用ASPack壓縮,利用QQ消息傳播。運行后會將IE默認首頁改變?yōu)?,如果你發(fā)現(xiàn)自己的IE首頁被修改成以上網(wǎng)址,就是被該病毒感染了。
病毒會利用QQ發(fā)送例如“今天在網(wǎng)上下了本電子書,書名叫《緣》,寫得不錯,而且書的作者的名字很巧…………點擊下面這個地址可以下載這本書”;“1937年12月13日,300000南京人民被侵華日軍集體大屠殺!!!所有的中國人都不應(yīng)忘記這個日子,從始至終日本人都沒有改變它們的野心!中華兒女要團結(jié)自強牢記歷史,我們要時刻警惕日本人的野心,釣魚島是中國的領(lǐng)土!!!臺灣是中國不可分割的一部份!!!請你將此消息發(fā)給你QQ上的好友!”等消息,消息里的鏈接是病毒網(wǎng)址。
清除方法:
使用了下面的辦法將其徹底刪除。
找到下列文件:
C:\windows\system\noteped.exe
C:\windows\system\Taskmgr.exe
C:\Windows\noteped.exe
C:\Windwos\system32\noteped.exe
刪除掉:其中Taskmgr.exe 要先打開"window 任務(wù)管理器",選中進程"Taskmgr.exe",殺掉
注意:有兩個名字叫"Taskmgr.exe"進程,一個是QQ病毒,一個是你剛才打開的"Window 認為管理器"
然后到注冊表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"
找到"Taskmgr" 刪除
如果你還不明白那請你先找到那幾個文件,然后再按下面步驟操作:
1.在任務(wù)欄上點擊鼠標右鍵,選擇任務(wù)管理器
2.選擇進程里的Taskmgr.exe,但我后來又測試也進行名稱不一定是大寫的,也有可能是小寫,一般排在上面的一個是。
3.點擊開始-運行,輸入Regedit進入注冊表
4.在注冊表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run,將Taskmgr"項刪除"。
刪除后重啟計算機,《緣》QQ病毒宣布徹底刪除。
另外提醒大家,盡快更新你的IE到IE6 SP1 這樣可以減少很多的IE被改機會。
近來網(wǎng)上出現(xiàn)一種叫做“QQ尾巴”的木馬病毒。該病毒會偷偷藏在你的系統(tǒng)中,當你在使用QQ的時候,它會自動尋找QQ窗口,給在線上的QQ好友發(fā)送諸如“剛剛朋友給我發(fā)來的這個東東。你不看看要后悔哦--”之類的假消息,如果有人信以為真點擊該鏈接的話,將會感染上病毒,并且成為病毒的傳播源。
三、“QQ狩獵者”病毒
病毒特征:
1、在進行QQ聊天時會在消息中加入信息"向你介紹一個好看的動畫網(wǎng): "
2、當瀏覽帶毒網(wǎng)站時,會利用IE漏洞,嘗試新增sys文件和tmp文件的執(zhí)行關(guān)聯(lián),并下載執(zhí)行病毒文件 b.sys,如果IE已經(jīng)打上補丁,則會彈出一個插件對話框,引誘用戶安裝,安裝后會將自己安裝到 %Windows%Downloaded Program Files 文件夾中,文件名為"b.exe",如果用戶拒絕安裝該插件,會不斷彈出對話框要求用戶安裝。
3、復(fù)制文件:
A、復(fù)制病毒體到 %SystemRoot% 文件夾中,文件名為"Rundll32.exe";
B、復(fù)制病毒體為 "C:\cmd.exe";
C、試圖復(fù)制病毒體到共享目錄中,名為"病毒專殺.exe"和"周杰倫演唱會.exe"。
4、添加注冊表啟動項,以隨機啟動在注冊表的主鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加以下鍵值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"
5、修改和新增以下文件關(guān)聯(lián)
A、修改.exe文件的關(guān)聯(lián),每當執(zhí)行exe文件時,即首先執(zhí)行病毒預(yù)先復(fù)制的病毒文件。在注冊表的主鍵:HKEY_CLASS_ROOT\exefile\shell\open\command 修改如下鍵值:默認="C;\cmd.exe %1 &_
B、新增.sys文件的執(zhí)行關(guān)聯(lián),使得在瀏覽帶毒網(wǎng)站時執(zhí)行病毒文件 b.sys在注冊表的主鍵: HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下鍵值:默認="""%1"" %_
C、新增.tmp文件的執(zhí)行關(guān)聯(lián)在注冊表的主鍵:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下鍵值:默認="""%1"" %_
6、試圖偷傳奇游戲的密碼,并通過自帶的郵件引擎以""的名義發(fā)送到"信箱中。
7、在Win2000、WinXP、Win2003系統(tǒng)中,系統(tǒng)文件"Rundll32.exe"就在系統(tǒng)目錄中,因而病毒會嘗試將該文件覆蓋,但這幾個系統(tǒng)都能自動保護并恢復(fù)受到破壞的系統(tǒng)文件,因而病毒不能正常加載,但仍可以通過EXE關(guān)聯(lián)被加載.
清除方法:
A、關(guān)閉Windows Me、Windows XP、Windows 2003的“系統(tǒng)還原”功能;
B、重新啟動到安全模式下;
C、先將regedit.exe改名為regedit.com,再用資源管理器結(jié)束cmd.exe進程,然后運行regedit.com,將EXE關(guān)聯(lián)修改為""%1" %_,再刪除以下文件:C:\cmd.exe、%Windows%\Download Program Files\b.exe。對于Win9x系統(tǒng),還要刪除%SystemRoot%\Rundll32.exe,再到共享目錄中看有沒有"病毒專殺.exe"和"周杰倫演唱會.exe"這兩個文件,文件大小為11184字節(jié),如果有,將其刪除。
D、清理注冊表:
打開注冊表,刪除主鍵 HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open 修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 的鍵值為 "%1" %
_防范措施:
不要輕易點擊QQ上的不明鏈接,不要安裝來歷不明的插件(如該病毒網(wǎng)站上所謂的"動畫播放插件2.0")。
四、“武漢男生”病毒
病毒特性:
此病毒是“武漢男生”的一系列新變種,病毒發(fā)作后會利用QQ聊天工具進行傳播,定時給QQ網(wǎng)友發(fā)送包含網(wǎng)址的信息來誘使用戶點擊,該網(wǎng)頁利用了IE的Object Data漏洞下載并運行病毒本身,該漏洞是由HTML中OBJECT的DATA標簽引起的。對于DATA所標記的URL,IE會根據(jù)服務(wù)器返回的HTTP頭來處理數(shù)據(jù)。如果HTTP頭中返回的URL類型Content-Type是Application/hta,那么該URL指定的文件就能夠執(zhí)行,無論IE設(shè)置的安全級別有多高。
該變種較明顯的特點是,病毒運行后,除定時發(fā)給QQ網(wǎng)友同樣的網(wǎng)址外還會趁機盜取“傳奇”游戲的帳戶、密碼以及其他信息,并以郵件形式發(fā)給盜密碼者,還會結(jié)束多種反病毒軟件,以保護自身不被清除。
(1)如果點擊病毒網(wǎng)頁,將會顯示美女圖片,而同時彈出一個標題為“asp空間”的不可見窗口。此網(wǎng)頁利用IE漏洞,下載并運行l(wèi)eoexe.gif和leo.asp文件,其中l(wèi)eoexe.gif并不是圖像文件,而是exe類型的病毒體,leo.asp是病毒釋放器;
(2)病毒一旦運行,將結(jié)束大部分殺毒軟件、防火墻以及某些病毒專殺工具;
(3)每隔一段時間給QQ網(wǎng)友發(fā)送信息
(4)病毒運行后會復(fù)制自身到系統(tǒng)目錄下,文件名是updater.exe、Systary.exe、sysnot.exe,并在注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加:
“windows update” = “%安裝目錄%\system\updater.exe” %安裝目錄% 是Windows 系統(tǒng)的安裝目錄,在不同系統(tǒng)下該目標表現(xiàn)可能不同,可能的有:c:\windows;c:\winnt 等。
(5)修改文本文件(_txt)關(guān)聯(lián)和可執(zhí)行文件關(guān)聯(lián),直接指向病毒本身,如果用戶運行任意的txt文件和exe文件都會激活病毒。
(6)病毒會在計算機中搜索傳奇游戲的帳戶、密碼以及其他信息,發(fā)送到指定的E-Mail信箱。
清除病毒
1、刪除病毒在系統(tǒng)目錄下釋放的病毒文件
2、刪除病毒在注冊表下生成的鍵值
3、運行殺毒軟件,對病毒進行全面清除
五、“愛情森林”病毒
(一)病毒特征
該木馬程序原始文件名為hack.exe,用Delphi編寫,并用UPX的進行了壓縮。木馬程序被運行后會:
1、復(fù)制自身到Windows操作系統(tǒng)的system目錄(通常為windowssystem)下,并改名為Explorer.exe。由于它和Windows目錄下的Explorer文件同名,因此會迷惑用戶,使用戶誤認為這是一個正常的系統(tǒng)文件。
2、修改注冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer.exe",使木馬程序可以在開機后自動運行。(其中%windowssystem%為Windows的系統(tǒng)目錄)
3、該木馬程序還會在站/下載文件update.exe,并執(zhí)行下載下來的程序,進行其它的破壞活動。
清除方法
(1)先打開任務(wù)管理器,結(jié)束掉位于下面的那個Explorer進程,然后刪除系統(tǒng)目錄下的木馬程序Explorer.exe?;蛘咧匦聠拥紻OS下到system目錄直接刪除該木馬程序。
(2)打開注冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。
(二)變種一病毒特征
該病毒運行后會:
1、復(fù)制兩個自己的拷貝到Windows的系統(tǒng)目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下,并分別更名為rundll.exe和sysedit32.exe。
2、修改注冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe",使木馬程序在開機后自動運行(其中%windowssystem%為Windows的系統(tǒng)目錄)。
3、修改注冊表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe,關(guān)聯(lián)記事本,使用戶打開txt文件時木馬程序能獲得運行機會。
4、該木馬會通過QQ程序向其它的QQ用戶你快去看看”的消息,誘導(dǎo)用戶瀏覽含有惡意代碼的網(wǎng)頁。
5、該木馬還會嘗試盜取QQ用戶的密碼并將其發(fā)送至指定的郵箱。有趣的是,由于病毒作者使用了一個組件來發(fā)送郵件,因此當木馬程序執(zhí)行發(fā)送郵件的操作時,該組件可能會彈出兩個對話框,其中一個的內(nèi)容為“220 welcom to coremail system(With Anti-Spam) 2.1”,另外一個對話框為“Cannot open file .mima.txt”。
清除方法
(1)打開任務(wù)管理器,結(jié)束掉RUNDLL和SYSEDIT32進程。
(2)刪除系統(tǒng)文件夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的文件(文件大小為1781752字節(jié))。
(3)打開注冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.exe\"的鍵值。恢復(fù)HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統(tǒng)文件夾)
(4)若根目錄下存在文件setup.txt或mima.txt,將其刪除。
(三)變種二病毒特征
該木馬程序被包裝在一個名為s.eml的郵件中,并且利用了Iframe漏洞。當沒有打補丁的用戶瀏覽含有該郵件的網(wǎng)頁時,郵件中的木馬程序(Hack.exe)就會自動運行。
木馬程序被運行后會:
1、復(fù)制自身到Windows系統(tǒng)目錄(通常為windowssystem)下,改名為Explorer.exe。由于它和Windows目錄下的Explorer文件同名,因此會使用戶誤認為這是一個正常的系統(tǒng)文件。
2、修改注冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Intarnet="%windowssystem%Explorer.exe",使木馬程序可以在開機后自動運行。(其中%windowssystem%為Windows的系統(tǒng)目錄)
3、該木馬程序會通過QQ的“發(fā)送消息”窗口給QQ用戶的網(wǎng)友發(fā)送如下信息看看,很好看的”,當用戶點擊該網(wǎng)址瀏覽時,木馬程序就會被再次激活,從而使該木馬通過QQ聊天工具不斷地傳播自己。
清除方法:
(1)打開任務(wù)管理器,結(jié)束掉位于下面的那個Explorer進程,然后刪除系統(tǒng)目錄下的木馬程序Explorer.exe?;蛘咧匦聠拥紻OS下到system目錄直接刪除該木馬程序。
(2)打開注冊表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。
(四)變種三病毒特征
該病毒運行后會:
1、復(fù)制兩個自己的拷貝到Windows的系統(tǒng)目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下,并分別更名為rundll.exe和sysedit32.exe。
2、修改注冊表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe",使木馬程序在開機后自動運行(其中%windowssystem%為Windows的系統(tǒng)目錄)。
3、修改注冊表,修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe,關(guān)聯(lián)記事本,使用戶打開txt文件時木馬程序能獲得運行機會。
4、修改注冊表,修改IE瀏覽器的默認頁,開始頁,起始頁。
5、該木馬會通過QQ程序向其它的QQ用戶發(fā)送你快去看看”的消息,誘導(dǎo)用戶瀏覽含有惡意代碼的網(wǎng)頁。
6、該木馬還會嘗試盜取QQ用戶的密碼并將其發(fā)送至指定的郵箱。
清除方法:
(1)打開任務(wù)管理器,結(jié)束掉RUNDLL和SYSEDIT32進程。
(2)刪除系統(tǒng)文件夾(W