病毒簡介
“QQ尾巴病毒”俗稱“QQ尾巴”和“QQ木馬”。
病毒類型:木馬
危險級別:★
影響平台:Win9X/2000/XP/NT/Me/Win7
過程及特徵
Trojan/QQMsg.FakeUpdt隨機傳送一些訊息。
傳播過程及特徵:
1.病毒運行後,將創建下列檔案:
2.修改註冊表:
/在註冊表中添加下列啟動項:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加鍵值:"KV2004" = "microsoft.exe"
這樣,在Windows啟動時,病毒就可以自動執行。
修改為:"" = "c:\windows\winsoft "%1" "
這樣,用戶打開任何txt檔案,都會再次運行病毒程式。
解決方案
升級防毒軟體
1.及時升級防毒軟體,打開監視程式。KV的郵件監視功能可以有效攔截通過郵件傳播的
網路蠕蟲病毒。防止病毒進入系統。
2.已被此病毒感染的用戶可以使用防毒軟體最新版本直接在系統下徹底查殺。方法是先對
系統記憶體進行掃描查殺,再對整個硬碟進行查殺。對於病毒創建的病毒體檔案,防毒軟體會自動進行刪除。
該病毒會偷偷藏在用戶的系統中,發作時會尋找QQ視窗,給線上上的QQ好友傳送諸如“快去這看看,裡面有蠻好的東西--”之類的假訊息,誘惑用戶點擊一個網站,如果有人信以為真點擊該連結的話,就會被病毒感染,然後成為毒源,繼續傳播。
防火牆攔截
這幾天上網經常收到網友發過來的"呵呵,其實我覺得這個網站真的不錯,你看看""看看啊. 我最近照的照片~ 才掃描到網上的.看看我是不是變了樣? "這類的信息,一看就知道是"愛情之門"變種病毒。
檢測
於是登入網站,下載了所有網頁,在裡面找到了這個病毒,病毒是作為控制項運行的,也就是在你的計算機提示網路安全對話框並且你點是的時候運行的那個.(檔案名稱是love.exe)
病毒運行後會在你的系統中產生如下幾個檔案
C:\WINNT\system32\DirectX.exe(系統隱藏)
C:\WINNT\system32\WINHELP.EXE(系統隱藏)
C:\WINNT\system32\WINhelp32.exe(系統隱藏)
C:\WINNT\system32\WinSocks.dll
C:\WINNT\intrenat.exe
在註冊表中添加如下幾項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Intrenat: \"C:\WINNT\intrenat.exe\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\: \"winhelp.exe\"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Intrenat: \"C:\WINNT\intrenat.exe\"
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run:\"
WINhelp32.exe\"
在註冊表中修改如下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: \"Explorer.exe\"
被修改為
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: \"Explorer.exe C:\WINNT\system32\DirectX.exe\"
病毒運行後會有intrenat.exe和WINHELP.EXE兩個進程常駐記憶體(可以在
任務管理器中看到)
病毒的危害與以前幾個版本大同小異
清除方法
首先打開
任務管理器,禁止兩個正在運行的病毒進程.然後,刪除病毒創建的檔案。
注意:有3個檔案是系統隱藏檔案屬性,要先修改"資料夾選項"才能看到,用Windows搜尋是找不到系統隱藏檔案的.
註冊表做相應修改就可以了,刪掉病毒創建的鍵,修改回被修改的鍵。
Win9X系統
除了上面的,病毒可能會對system.ini和
win.ini兩個檔案進行修改,你可以在sysedit編輯器中改回來.
其他的應該沒甚么差別
隨著聊天工具的日益普及,聊天工具已經成為黑客的主流攻擊手段和攻擊目標。許多黑客都盯上了這個通道,利用聊天工具的
安全漏洞發起攻擊,掌握了對方的聊天工具就可能得到了管理員許可權。很多網路
即時聊天工具的安全性都比較低,不需要很高水平就可以攻擊成功。國內人們常用的
即時通訊軟體主要有騰訊的QQ、
網易的泡泡、新浪UC、微軟的MSN、ICQ、IMU即時通、
雅虎通(Yahoo! Messenger)、Trillian 等,這裡主要將用戶最多的QQ安全問題和黑客攻擊手段作一介紹。 QQ是
騰訊公司推出的一款免費聊天工具,網上已經出現了QQ2005賀歲版,QQ軟體的主要用途是進行聊天。因為功能眾多,大部分功能又是免費的,所以在國內成為用戶最多的聊天工具,線上人數經常是幾百萬,到2004年底,線上用戶最高峰已經突破1000萬
大關,因此成為黑客光顧的重點對象。
本文從黑客對QQ的攻擊方法入手,找出攻擊的共性,從而更好地進行防禦。
主要危害
盜取賬號
盜取QQ號碼的方法有攻擊弱口令和在公用計算機上安裝鍵盤記錄工具記錄密碼,或者向用戶傳送木馬,利用工具盜取口令。
弱口令攻擊就是利用QQ密碼窮盡軟體,線上嘗試可能的密碼組合,如果密碼位數很短,如6位以下,或者密碼是全數字或一個英文單詞等有明顯特徵的情況,就很容易被窮盡軟體找出,對付這種攻擊的辦法就是使用儘可能複雜的密碼,像字母和數字的組合,密碼長度要至少8位以上等。
在很多公用計算機尤其是網咖的計算機上都被安裝了鍵盤記錄工具,當計算機開啟後,從鍵盤上健入的每一個字元都被完整地記錄下來,黑客只要查看記錄檔案,就不難從中找出QQ號碼和對應的密碼。對付這種攻擊的辦法是在輸入密碼時,鍵盤和滑鼠並用,利用滑鼠調整密碼的輸入順序就可以,如果你的密碼有8位以上並且密碼的每個字元都不相同,即使黑客知道了你全部的密碼字元,也不足慮,想一想8的階乘8*7*6*5*4*3*2*1=40320,已經夠黑客窮盡很長時間,另一條原則是在網咖上網後,要記得修改密碼,增大自己的安全係數。
還有一種方法是利用用戶貪便宜的心理,盜取QQ號碼。最著名的是下面這樣一次欺騙。在某些論壇上有人發布這樣的貼子,聲稱幾個黑客成功的潛入了
騰訊公司的主頁並得到了一些有價值的數據和漏洞。原理是進入騰訊公司的主頁後,他們在
伺服器上搞了個可以自動讀取指令的號碼QQ*******:,公司的管理員就是通過發指令給這樣QQ來完成比較簡單的工作的(比如說收回QQ和找回密碼等等)這個QQ的號碼是:**********(騰訊公司為了 不引起大家的注意,所以這個QQ比較普通,這個QQ一般隱身,向此QQ號碼發代碼 {Jerusalum/PLO********}{Vesselin Bontchev@@@@}{FRALDMUZK ###} (*****填上QQ號碼,@@@@填上QQ密碼,###填你申請Q幣的個數 ,就可以等著收Q幣,還可以得到好號。貪便宜想得到QQ幣的用戶,把自己的號碼與密碼都發給了此人,號碼自然被人盜走。
騰訊公司推出的QQ號碼手機綁定功能可以一勞永逸地解決QQ號碼的盜取問題,美中不足的是這是一項收費服務,對那些想免費使用QQ軟體的朋友是一項不小的挑戰。
利用系統廣播騙取費用
實際案例是某QQ用戶的手機號碼於10月31日收到來自977702XX774或1700002XX774的下列信息:“恭喜你成功訂閱了XXX業務每月將收取服務費30元,退訂請編輯DQ01#EXIT80傳送至921X”。 簡訊內容中的“DQ01#EXIT80傳送至921X”實際是某個網站的訂製某遊戲業務中獲取秘籍的指令,目的是讓用戶收到此信息後,以為自己曾訂製過某項業務,為了不再被收取費用,急急忙忙按照簡訊內容傳送“退訂”;此時用戶正中陷阱,原以為是退訂業務,反而變成定製業務,導致自己的手機費用受到損失。
查看其他用戶的信息
如果成功盜取到其他用戶的QQ號碼,自然能夠看到其他用戶的信息,如果沒有,則在公用計算機上可以看到在本機上用過QQ軟體的其他用戶的信息,如聊天記錄、好友信息等。藉助軟體可以脫線登錄其他用戶QQ號碼,並察看聊天記錄和好友信息。
利用QQ漏洞攻擊
上面的幾個方面只是局限在對QQ的攻擊,而黑客做的更多的是藉助QQ,進一步控制用戶的計算機。最流行的是QQ尾巴病毒。QQ尾巴病毒就是在用戶系統中悄悄運行的一個程式,通過用戶的QQ給對方發訊息,而且這種訊息傳送是自動進行的,其中帶有一個程式或一個惡意網站的網址,對方收到訊息後,由於是好友發過來的,往往會毫不猶豫地點擊那個網址或程式,就會被
惡意代碼、病毒攻擊,系統被改得面目全非。然而因為訊息是好友給發過來的,成功的機率很高,這就使得QQ病毒大肆流傳。但這種病毒也有其自身的弱點,就是病毒信息是對方發過來的第一個信息,對好友的第一個信息稍加注意,並向好友證實後再點擊,就能夠很好地預防QQ病毒的攻擊。
QQ已分享檔案惡意利用
自QQ2003II之後,增加了一項“瀏覽好友已分享檔案”功能,一台機器設了共享,其他機器都可以訪問它。如果這台機器給其中的某個目錄設定了完全共享,其他機器既可以訪問瀏覽這個目錄,又可以對這個目錄中的檔案進行修改、創建、刪除操作。在設定共享的時候還可以使用密碼,讓其他人通過密碼來訪問,或者使用控制許可權的方法讓某台指定的機器訪問。QQ的“瀏覽已分享檔案”功能就是這個意思。這個功能把你的機器與你的好友的機器通過QQ、利用網際網路組成了一個“大區域網路”。區域網路中有隻讀共享和完全共享的概念,但是在QQ的共享中據說都是唯讀共享。但是否存在能夠通過其它途徑改為完全共享,還不得而知。這就需要用戶不要隨便添加好友,好友對用戶機器有一定的操作許可權。
其它對QQ進行攻擊的手段還有很多,這裡就不再一一列舉,對其它的聊天工具也都存在不同程式的黑客攻擊行為,進行聊天的用戶往往是毫無安全意識的普通用戶,這就導致了對聊天軟體的攻擊大肆流行。
相關信息
移動便攜網路接入設備名稱提示
由於智慧型手機以及平板電腦的普及,QQ的上網終端也越來越多樣(不僅限於QQ其他網路套用也一樣),例如:iphone用戶在於好友交談時,在交談的正文結束後會跟一句:(通過 iphoneQQ 傳送詳情訪問···)。這一句關於使用設備的名稱的提示叫QQ尾巴。該尾巴不具破壞性。