QQ病毒查殺完全手冊

　　清除方法

　　(1)打開任務管理器，結束掉RUNDLL和SYSEDIT32進程。

　　(2)刪除系統(tǒng)文件夾(Win9_通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.e_e和sysedit32.e_e的文件(文件大小為1781752字節(jié))。

　　(3)打開注冊表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.e_e\"的鍵值?；謴虷KEY_CLASSES_ROOTt_tfileshellopencommand的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統(tǒng)文件夾)

　　(4)若根目錄下存在文件setup.t_t或mima.t_t,將其刪除。

　　變種第二病毒特征　　該木馬程序被包裝在一個名為s.eml的郵件中，并且利用了Iframe漏洞。當沒有打補丁的用戶瀏覽含有該郵件的網(wǎng)頁時，郵件中的木馬程序(Hack.e_e)就會自動運行。

　　木馬程序被運行后會：

　　1、復制自身到Windows系統(tǒng)目錄(通常為windowssystem)下，改名為E_plorer.e_e。由于它和Windows目錄下的E_plorer文件同名，因此會使用戶誤認為這是一個正常的系統(tǒng)文件。

　　2、修改注冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Intarnet="%windowssystem%E_plorer.e_e",使木馬程序可以在開機后自動運行。(其中%windowssystem%為Windows的系統(tǒng)目錄)

　　3、該木馬程序會通過QQ的“發(fā)送消息”窗口給QQ用戶的網(wǎng)友發(fā)送如下信息“http://ajim.delphibbs.com去看看，很好看的”，當用戶點擊該網(wǎng)址瀏覽時，木馬程序就會被再次激活，從而使該木馬通過QQ聊天工具不斷地傳播自己。

　　清除方法：

　　(1)打開任務管理器，結束掉位于下面的那個E_plorer進程，然后刪除系統(tǒng)目錄下的木馬程序E_plorer.e_e。或者重新啟動到DOS下到system目錄直接刪除該木馬程序。

　　(2)打開注冊表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為E_plorer的鍵值?！　∽兎N第三病毒特征

　　該病毒運行后會：

　　1、復制兩個自己的拷貝到Windows的系統(tǒng)目錄(Win9_通常為Windowssystem,WinNt通常為WinNtsystem32)下，并分別更名為rundll.e_e和sysedit32.e_e。

　　2、修改注冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.e_e"，使木馬程序在開機后自動運行(其中%windowssystem%為Windows的系統(tǒng)目錄)。

　　3、修改注冊表，修改HKEY_CLASSES_ROOTt_tfileshellopencommand的默認鍵值為%windowssystem%sysedit32.e_e，關聯(lián)記事本，使用戶打開t_t文件時木馬程序能獲得運行機會。

　　4、修改注冊表，修改IE瀏覽器的默認頁，開始頁，起始頁。

　　5、該木馬會通過QQ程序向其它的QQ用戶發(fā)送“http://ontimer.spedia.net，你快去看看”的消息，誘導用戶瀏覽含有惡意代碼的網(wǎng)頁。

　　6、該木馬還會嘗試盜取QQ用戶的密碼并將其發(fā)送至指定的郵箱。

　　清除方法：

　　(1)打開任務管理器，結束掉RUNDLL和SYSEDIT32進程。

　　(2)刪除系統(tǒng)文件夾(Win9_通常為Windows\system,WinNt通常為WinNt\system32)下名為RUNDLL.e_e和sysedit32.e_e的文件(文件大小為1781752字節(jié))。

　　(3)打開注冊表編輯器，刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名為intarnet=%windowssystem%\rundll.e_e\"的鍵值?；謴虷KEY_CLASSES_ROOT\t_tfile\shell\open\command的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統(tǒng)文件夾)

　　(4)恢復IE的設置。打開注冊表編輯器，恢復HKEY_LOCAL_MACHINE\Software\Microsoft\Internet E_plorer\Main\Start Page，HKEY_LOCAL_MACHINE\Software\Microsoft\Internet E_plorer\Main\Default_Page_URL，HKEY_LOCAL_MACHINE\Software\Microsoft\Internet E_plorer\Main\Local Page的設置為原來的內(nèi)容。

　　變種第四病毒特征

　　該木馬程序用Delphi編寫，并用UP_進行了壓縮，但該程序需要用戶的機器上安裝了Delphi的動態(tài)庫才能運行。該程序具有同“愛情森林”的第一個版本相同的特征，因此極有可能是病毒作者對“愛情森林”的第一個版本重新編譯后生成的。木馬程序被運行后會：

　　1、復制自身到Windows操作系統(tǒng)的system目錄(通常為windowssystem)下，并改名為E_plorer.e_e。由于它和Windows目錄下的E_plorer文件同名，因此會迷惑用戶，使用戶誤認為這是一個正常的系統(tǒng)文件。

　　2、修改注冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值E_plorer="%windowssystem%E_plorer.e_e",使木馬程序可以在開機后自動運行。(其中%windowssystem%為Windows的系統(tǒng)目錄)

　　3、該木馬程序還會在站點http://orchid.diy.163.com/下載文件update.e_e，并執(zhí)行下載下來的程序，進行其它的破壞活動。

　　清除方法

　　(1)先打開任務管理器，結束掉位于下面的那個E_plorer進程，然后刪除系統(tǒng)目錄下的木馬程序E_plorer.e_e?；蛘咧匦聠拥紻OS下到system目錄直接刪除該木馬程序。

　　(2)打開注冊表編輯器，刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名為E_plorer的鍵值

　　“QQ炸彈”防護

　　一、拒絕消息“炸彈”

　　消息“炸彈”攻擊可能是“炸彈”攻擊中最常見的。它依靠在很短的時間間隔內(nèi)發(fā)送大量信息來騷擾用戶。因為無論騰訊公司如何在QQ安全問題上進行改進，最終它所實現(xiàn)的主要還是點對點的聊天交流。如果騰訊公司在設計QQ時將兩次發(fā)送消息的時間間隔設置得太長 對于用戶正常的聊天就可能會造成影響.而如果太短，則消息”炸彈”就有了生存之地。因此從這個角度來說，只要能發(fā)消息 消息”炸彈”就不可能停止。話說回來，適當減少被消息“炸

　　彈”轟炸的方法還是有的，下面咱們就一起來看看。

　　1.原理分析

　　QQ消息“炸彈”原理其實比較簡單：當用戶切換到”聊天模式”時，QQ消息“炸彈“程序通過調(diào)用函數(shù)等方式搜索到QQ聊天窗體及文本窗體等程序句柄 然后控制其自動發(fā)送消息。由于發(fā)消息時間間隔很短，使人應接不暇，最終形成了“炸彈”，阻礙了QQ的正常使用。

　　2.快速防“彈”

　　由于QQ“炸彈”太多，騰訊公司也不得不考慮這些問題。因此在QQ 2004版本中發(fā)送消息的頻率需要有一定的間隔，否則QQ會友好地提示你“對不起，您說話太快了，坐下來，泡杯咖啡休息會吧”。然而“道高一尺 魔高一丈”，總有些惡意的騷擾者不斷地出現(xiàn)在你的陌生人名單中，不停地發(fā)消息”炸彈”騷擾你。針對這種人，我們可以這樣對付他：點擊“QQ菜單”一“系統(tǒng)設置”一“基本設置”在“綜合設置”里勾選“拒絕陌生人消息”，這樣所有陌生人發(fā)的消息你都收取不到了，當然陌生人也就無從騷擾你了。而針對可能存在干你好友名單里的騷擾者，大家可以這樣設置：打開該好友的資料，切換到“好友設置”。勾選“不接收該好友發(fā)過來的任何消息”這樣他就設法再“炸”你了。

　　不過對于“身份認證”這種消息“炸彈”，由于現(xiàn)在QQ身份認證機制的局限性，在理論上我們是沒辦法完全防止的。我們只能采取設置成“拒絕任何人加為好友”這種“殲敵一千，自損八百”的手段。更有效的防范方法，還要靠騰訊公司對QQ進行改進，我們只能期盼更新版的QQ早日到來了。

　　二、拒絕惡性“炸彈”

　　由干一般的“炸彈“防范措施比較簡單，所以大家只要按照上述方法一般都能避免受到攻擊。但其中也有一些后果比較嚴重的”炸彈”，可以將你的QQ炸得“血肉橫飛”。比如在QQ2000C、QQ2003和QQ2003II中發(fā)現(xiàn)的由于Richedit代碼頁溢出所引起的嚴重安全漏洞，它可以使攻擊者發(fā)送一段惡意代碼就讓接收這段代碼的QQ自動關閉。雖然隨后騰訊很快推出安全補丁解決了這一問題，但這種攻擊方式本身還是以簡單而有效受到廣泛的承認。對于這類攻擊 如果你還在使用以上老版本 ，防范方法就是盡快打上騰訊公司給出的不定， 或升級QQ。

　　三、另類攻擊

　　關于QQ還有一種另類攻擊方法，雖然危害不是很大，但也有必要告訴大家。相信嗎?在你的QQ所在文件夾下隨便寫個文件或者建立一個目錄，你的QQ就運行不了啦!如果你不相信，就和我一起做個試驗吧。

　　首先，點擊“我的電腦”進入QQ所在的文件夾，默認安裝在C：\ProgramFiles\Tencent下。然后點擊鼠標右鍵，選“新建”一“文件夾”，將這個新建的文件夾命名為ws2_32.dll?，F(xiàn)在，運行QQ，輸入你的QQ密碼，猜猜會怎么樣?如果你使用的是版本號為QQ2000c系列的QQ，如0630、510、0305b、0305等各版本，QQ將無法啟動，而且沒有任何提示信息!如果使用的是版本號為QQ2000b系列的QQ，將會出現(xiàn)如圖3所示窗口，讓你輸入本地消息密碼(本地消息密碼可以在QQ的“系統(tǒng)參數(shù)”一“安全設置”中設置)。此時，無論你.是否設置過本地消息密碼，而且不管你輸入的密碼是否正確，點擊“確定”都無法進入QQ，會一直讓你輸入不止。點擊“取消”則退出QQ。怎么樣?無法進入QQ了吧?

　　為什么會出現(xiàn)這種現(xiàn)象呢?原因是微軟把目錄和文件作為同級的東西來處理了，而QQ作為網(wǎng)絡通訊類的程序，必然要調(diào)用Winsock的一系列API，而這些API是存放在winsock.dH和ws2_32.dll文件里的。Window有個特點，就是找動態(tài)鏈接庫的時候，會先在應用程序當前目錄搜索，然后才會搜索Windows所在目錄，再次是system32和system所在目錄。而我們前面做的試驗正是利用了這個特點，在QQ所在目錄中建立一個名字為ws2—32.dll的“目錄”，系統(tǒng)會把它當作一個文件優(yōu)先調(diào)用，而實際上ws2_32.dll是目錄而非QQ所需的文件，所以QQ就給“憋死了”!

　　上面我們是建立名為ws2_32.dll的目錄，，下面我們再建立一個名為ws2_32.dll的文件，看看會怎么樣?結果完全相同，還是無法登陸QQ!這也證明了我們上面的分析是正確的。

　　最后，再告訴大家一個好方法：如果有人在QQ上不斷地用語言侮辱你，在忍無可忍時，可以點擊對方的頭像，然后選擇“傳送文件”，發(fā)送給對方一個長度為0字節(jié)的文件(用記事本新建一個文件，什么都不輸入，保存退出，即可得到一個長度為0的文件)，之后，你就不會看到他喋喋不休的廢話了，因為他的QQ已經(jīng)崩潰了!要提醒大家的是不要亂用此方法，當心進入別人的“黑名單”哦。

　　木馬防范技巧

　　1、QQ中防范木馬新方法

　　大家知道，目前黑客工具實在是太多了，木馬就是其中之一，特別是針對QQ的木馬就更是數(shù)不勝數(shù)了。那么有什么辦法避免木馬記錄我們輸入的密碼呢?這里推薦一個小方法，可以使你的QQ密碼安全許多!具體方法是：假如你的QQ密碼是5009，在輸入時最后不直接輸入該密碼，這樣直接輸入會被直接記錄下來。你可以先輸入508，然后把光標移到8后面再按0，這樣你輸入的密碼依然是5008，但在木馬看來你輸入的就是5080，一字之差，謬之千里。這樣你的QQ密碼就安全多了!

　　2、使用中文做密碼

　　打開記事本，把你要作為密碼的中文寫入其中，用鼠標右鍵點擊屏幕右下角的QQ圖標，在彈出菜單中選“個人設定”，此時會彈出“修改用戶資料”對話框，點擊其中的“網(wǎng)絡安全”，選“修改密碼”，輸入舊口令，在“新口令”欄中把記事本里的中文密碼粘貼進去就可以了。要注意的是：一個中文占兩個字符的空間，QQ最大支持16位密碼，所以你的中文密碼不能超過8個字。

　　3、利用QQ注冊向?qū)Р呻[身登錄

　　首先打開QQ登錄框選擇“注冊向?qū)?amp;rdquo;填好號碼和密碼，點擊兩下“下一步”這時你看見登錄框頁面—亡有一個“會員功能”的選項。把“使用HTTP協(xié)議登錄(僅限會員使用)”前面打個小勾，然后在彈出的使用HTTP協(xié)議確認界面中點擊“選擇”，這時再點擊“下一步”后顯示“已將您的好友列表讀取到本地，點擊完成啟動QQ”，接著卻彈出一個“登錄失敗”的警告對話框，上面寫著“您不是會員，不能使用HTTP代理功能”。不要管它，點擊“OK”，這時候看見右下角任務欄的小QQ是灰色的離線狀態(tài)，雙擊彈出，在QQ主界面左下角打開“QQ2000”主菜單按鈕，選擇“系統(tǒng)參數(shù)”選項，在“會員功能”里，把“使用HTTP協(xié)議登錄”前面的勾去掉，如圖2所示，然后，點擊“確定’’。再單擊QQ小企鵝，選擇“隱身”狀態(tài)。出現(xiàn)一個錯誤提示符，不要理它;點“確定”，再次選擇隱身登錄看，QQ已經(jīng)隱身登錄了。

歡迎閱讀以下相關文章：

1.QQ病毒查殺完全手冊

2.七點常見QQ網(wǎng)絡騙術 必備技巧

3.QQ安全軟件 保護你的QQ安全

4.QQ常用技巧

5.如何查找攻擊網(wǎng)站的CC攻擊IP

6.各種計算機病毒分類介紹