背景,揭秘IM病毒,應對方法,軟體查殺,手動查殺,防範技巧,概括,措施,四條準則,典型QQ病毒,QQ龜,QQ愛蟲,愛情森林病毒,QQ偽裝專家,QQ竊手,QQ騙子,QQ尾巴,QQ連發器,美女殺手,QQ女友,
背景
即時通訊所擁有的實時性、成本低、效率高等諸多優勢,使之成為網民們最喜愛的
網路溝通方式之一,但隨著QQ等即時通訊用戶呈幾何級增長,老病毒新病毒紛紛“下海”,群指IM軟體。
8月25日,國內最大的
反病毒廠商
江民科技發布了即時通訊病毒最新排行榜,QQ及
MSN病毒幾乎包攬了排行榜“十強”。
回首2003年,QQ已經成為任何人都不能忽視的網際網路套用。正所謂“樹大招風”,QQ的大用戶群使其成為病毒滋生的“溫床”和黑客頻繁攻擊的對象,事實表明QQ正成為電子郵件之後又一個主要病毒傳播渠道。
2004年1月12日,
瑞星和騰訊公司宣布達成戰略合作夥伴關係,雙方致力於為用戶提供一個更加安全的網上交流環境。騰訊公司表示,在1月中旬即將發布的正式版本中,會集成推出病毒資訊、QQ病毒線上專殺、“線上查毒”和“
線上防毒”等一攬子服務。
揭秘IM病毒
即時通訊(IM)類病毒主要是指通過
即時通訊軟體(如MSN、QQ等)向用戶的聯繫人自動傳送惡意訊息或自身檔案來達到傳播目的的
蠕蟲等病毒。
IM類病毒通常有兩種工作模式:一種是自動傳送惡意文本訊息,這些訊息一般都包含一個或多個網址,指向惡意網頁,收到訊息的用戶一旦點擊打開了惡意網頁就會從惡意網站上自動下載並運行病毒程式。另一種是利用即時通訊軟體的傳送檔案功能,將自身直接傳送出去,這也是時下流行的主模式。
第一個利用MSN傳播的蠕蟲是2001年4月被發現的I-Worm/Funny,第一個利用QQ自動傳送惡意訊息的病毒是2002年8月份的“愛情森林”。近年來,各種即時通訊軟體層出不窮,線上用戶的人數也呈爆炸式增長。
根據
江民公司發布的2005年上半年十大病毒排行榜,
即時通訊相關病毒已占據了一半席位,“QQ龜”病毒更是名列十大病毒之首。江民反病毒專家何公道認為,現在的即時通訊已經成為病毒傳播的主渠道,一方面是因為即時用戶群規模龐大並且持續快速增長,另一方面即時通訊用戶對好友傳送訊息容易放鬆警惕,病毒成功的機率較高。何公道也進一步表示,今後兩年即時通訊類病毒還會越來越多,甚至一些重大病毒也很可能集中利用即時通訊來擴大傳播面。據悉,日前瘋狂流竄網際網路的“
極速波”病毒也已出現開始通過即時通訊傳播的變種。
據悉,這些
IM病毒很會玩弄花招,名人、美女都是其利用手段。因此專家建議廣大網友上網
即時聊天時最好啟用防毒軟體的實時監控及隱私保護功能,尤其不要下載陌生網友推薦的網頁、軟體和資料,即使是好友傳送也應仔細詢問,以免病毒感染或機密資料被盜。
應對方法
軟體查殺
QQKAV2006
國慶節版:病毒
查殺:改進病毒查殺引擎算法,徹底粉碎病毒檔案,加強DLL注入型病毒查殺,最新流行QQ木馬病毒及其變種(13000餘種)的查殺及病毒
註冊表殘留項清理,保護電腦不受隨身碟及其他移動設備的病毒感染。進程及模組管理:自動判斷系統正常進程/查看進程屬性/強制結束進程/結束進程DLL模組/粉碎檔案等系統啟動項管理:註冊表啟動項/資料夾啟動項等屬性查看及刪除。
系統服務管理:自動判斷系統正常服務/重啟、停止、啟動、改變系統服務模式。
系統垃圾清理:上網隱私清理/系統垃圾檔案清理等。
流氓軟體/外掛程式清理及免疫:IE
載入項/IE擴展項/
BHO外掛程式/IE右鍵選單/已安裝的
ActiveX/IE高級設定項/系統HOOKS/
免疫外掛程式(國內
流氓外掛程式90項、國外流氓外掛程式498項、其他外掛程式及病毒外掛程式21項)等。
IE修復:IE系統DLL修復/IE Cookies清除/IE地址欄清理/IE
收藏夾管理等。導出系統診斷報告:導入系統啟動項、系統服務、IE載入項/BHO/ActiveX/HOOKS等項目,方便給電腦專家解決系統故障及病毒。系統救援:EXE、TXT等系統關聯修復/
註冊表解鎖/
任務管理器解鎖等。安全資訊:最新的
系統漏洞補丁、安全公告、病毒查殺方法等資訊播報。解決了與
瑞星註冊表監視的衝突等問題,以及包含線上升級、傳送
可疑檔案、QQ安全登入器、金山
防火牆、自定義鎖定IE首頁、禁止
惡意網址、禁止
QQ尾巴訊息、禁止好友傳送病毒檔案等功能。
QQ病毒專殺工具XP--QQKav是由國內共享軟體作者喃哥開發的一款專門查殺騰訊QQ自動發訊息病毒、木馬及反黃的軟體。
QQKav不僅具有帶毒防毒、準確度高、閃電查殺、無須重啟等特點,實時監視註冊表,保護
系統安全。並還提供能夠有效禁止不健康及惡意網站的監控過濾功能,可以有效地防止
惡意網址的打開,拒木馬、病毒於門外。另可用於禁止廣告及IE外掛程式彈窗、修補
IE木馬後門漏洞。此外,軟體界面美觀,使用簡單,無需安裝,屬於綠色環保軟體。(網咖版附帶廣告彈窗禁止、伺服器時間校正、網咖輔助管理等功能。)
手動查殺
QQ自動傳送檔案病毒可能在你不自覺的情況下,就把一些病毒訊息傳送給你的好友,有些時候給你惹來了一些不必要的麻煩,在這裡就向大家介紹了如何手動刪除病毒的辦法。1.查找進程
rundll32.exe k掉
2.如果有 .exe(注意是一個特殊字元不是空格)進程,k掉
3.定位[HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopencommand]
改默認鍵值為 `notepad %1` (注意前面沒有那個類似於空格的特殊字元)
4.定位 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
改默認鍵值為 `%1` %* (注意前面沒有那個類似於空格的特殊字元)
5.定位[HKEY_LOCAL_MACHINESOFTWARE\
TENCENT\QQ]
可發現 有兩個檔案
TIMP1atform.exe (注意是1不是L)
刪除TIMPlatform.exe(病毒,為
winrar圖示),把TIMP1atform.exe改名為TIMPlatform.exe
6.病毒檔案刪除,下面是要刪除的病毒檔案(都為winrar圖示),假設windows目錄為c:winnt
c:winntsystem undll32.exe
c:winntsystem32?.exe
c:winntsystem32 otepad?.exe
*為你的系統打上此病毒`補丁`*
打此補丁後以後不會再中此病毒
定位註冊表項(沒有則新建)
HKEY_LOCAL_MACHINESOFTWAREClassesMSipv
添加一鍵值
MainVer 類型為REG_DWORD,值為ffffffff(16進制)
病毒啟動判斷狀態參數完畢後會查詢此值,如當前版本值比它小則會彈出個對話框就退出。
防範技巧
概括
QQ的密碼、個人資料和
聊天記錄能否安全成為至關重要的問題,為了有效地防止聊天記錄等本地信息的丟失和被竊可以採取以下有效措施:
措施
A、設定本地訊息口令:
首先按下滑鼠右鍵,從QQ圖示上選擇“
系統參數”,在“系統參數”視窗選擇“安全設定”標籤。接著選擇“啟用本地訊息加密”,再依次輸入口令並確認口令即可。同時為了保險一定要勾選“啟用本地訊息加密口令提示”,設定提示問題和問題答案,按下“確定”使設定生效。在啟動OICQ輸入
賬號和密碼後,軟體還會要求輸入本地訊息口令,否則不能進入。
B、避開木馬軟體的攻擊:
當前網路上可以找到很多的盜取QQ密碼的木馬軟體,但這些木馬軟體一般只記錄號碼位數不超過9位數的QQ登錄密碼,我們可以針對這個特點,採用“
瞞天過海”的手法把QQ號碼設定為超過9位數字。我們可以這樣做;在登錄QQ的時候選擇“註冊嚮導”,在“使用已有的QQ號碼”中輸入的QQ號碼前加入一長串0,其位數與原有的QQ號位數相加超過9位數就可以,這樣的結果是既不影響正常的QQ登錄,又可以避開木馬軟體對QQ密碼的秘密監視了。同時適當選擇反木馬軟體也可防患未然,如:Anti trojan,TheCleaner,Iparmor……這些軟體都有強大的木馬清除能力。
C、可以採取隱身登錄的辦法:
首先找到以前成功登錄過的QQ,在“QQ用戶登錄”框中找到自己的號碼,選中下面“隱身登錄”前面的方框,你就可以隱身登錄了。假如你是第一次在這台電腦上登錄QQ,登錄成功後別人很容易獲取你的地址,最好馬上選擇“離線”,過一會兒你再選擇“隱身登錄”。這樣別人就找不到你的地址了。
D、你可以在“
系統參數”設定里選中“拒絕陌生人訊息”:
在“個人設定”的“網路安全”標籤里選擇“需要身份驗證才能把我列為好友”。
找一個代理伺服器,然後在QQ中設定好,別人就只能看到這個代理伺服器的
IP位址了。
F、知己知彼,減少風險:
黑客要入侵要經過一套入侵的流程,包括查找IP,掃描通訊錄,作業系統分析,弱點分析,密碼破解等,總要花費一些時間,所以,如果你滯留在網上的時間越長,黑客就越有機會來完成入侵程式。所以沒有事情的時候不要掛網,以減少被黑的風險。
如果一定要打開陌生人傳送的檔案,可以先查殺然後打開,現在的大部分防毒軟體都支持
嵌入式防毒。
四條準則
大家知道,目前
黑客工具實在是太多了,木馬就是其中之一,特別是針對QQ的木馬就更是數不勝數了。那么有什麼辦法避免木馬記錄我們輸入的密碼呢?
QQ中防範木馬新方法
大家知道,目前黑客工具實在是太多了,木馬就是其中之一,特別是針對QQ的木馬就更是數不勝數了。那么有什麼辦法避免木馬記錄我們輸入的密碼呢?這裡推薦一個小方法,可以使你的QQ密碼安全許多!具體方法是:假如你的QQ密碼是5008,在輸入時最後不直接輸入該密碼,這樣直接輸入會被直接記錄下來。你可以先輸入508,然後把游標移到8後面再按0,這樣你輸入的密碼依然是5008,但在木馬看來你輸入的就是5080,一字之差,謬之千里。這樣你的QQ密碼就安全多了!
使用中文做密碼
打開記事本,把你要作為密碼的中文寫入其中,用滑鼠右鍵點擊螢幕右下角的QQ圖示,在彈出選單中選“個人設定”,此時會彈出“修改用戶資料”對話框,點擊其中的“網路安全”,選“修改密碼”,輸入舊口令,在“新口令”欄中把記事本里的中文密碼貼上進去就可以了。要注意的是:一個中文占兩個字元的空間,QQ最大支持16位密碼,所以你的中文密碼不能超過8個字。
利用QQ註冊嚮導采隱身登錄
首先打開QQ登錄框選擇“註冊嚮導”填好號碼和密碼,點擊兩下“下一步”這時你看見登錄框頁面—亡有一個“會員功能”的選項。把“使用
HTTP協定登錄(僅限會員使用)”前面打個小勾,然後在彈出的使用HTTP協定確認 界面中點擊“選擇”,這時再點擊“下一步”後顯示“已將您的好友列表讀取到本地,點擊完成啟動QQ”,接著卻彈出一個“登錄失敗”的警告對話框,上面寫著“您不是會員,不能使用
HTTP代理功能”。不要管它,點擊“OK”,這時候看見右下角系統列的小QQ是灰色的離線狀態,雙擊彈出,在QQ主界面左下角打開“QQ2000”主選單按鈕,選擇“
系統參數”選項,在“會員功能”里,把“使用HTTP協定登錄”前面的勾去掉,如圖2所示,然後,點擊“確定’’。再單擊QQ小企鵝,選擇“
隱身”狀態。出現一個錯誤提示符,不要理它;點“確定”,再次選擇隱身登錄看,QQ已經隱身登錄了。
另類攻擊
關於QQ還有一種另類攻擊方法,雖然危害不是很大,但也有必要告訴大家。相信嗎?在你的QQ所在資料夾下隨便寫個檔案或者建立一個目錄,你的QQ就運行不了啦!如果你不相信,就和我一起做個試驗吧。
首先,點擊“我的電腦”進入QQ所在的資料夾,默認安裝在C:\ProgramFiles\Tencent下。然後點擊滑鼠右鍵,選“新建”一“資料夾”,將這個新建的資料夾命名為ws2_32.dll。現在,運行QQ,輸入你的QQ密碼,猜猜會怎么樣?如果你使用的是版本號為QQ2000c系列的QQ,如0630、510、0305b、0305等各版本,QQ將無法啟動,而且沒有任何提示信息!如果使用的是版本號為QQ2000b系列的QQ,將會出現如圖3所示視窗,讓你輸入本地訊息密碼(本地訊息密碼可以在QQ的“
系統參數”一“安全設定”中設定)。此時,無論你.是否設定過本地訊息密碼,而且不管你輸入的密碼是否正確,點擊“確定”都無法進入QQ,會一直讓你輸入不止。點擊“取消”則退出QQ。怎么樣?無法進入QQ了吧?
為什麼會出現這種現象呢?原因是微軟把目錄和檔案作為同級的東西來處理了,而QQ作為網路通訊類的程式,必然要調用
Winsock的一系列API,而這些API是存放在
winsock.dH和ws2_32.dll檔案里的。Window有個特點,就是找
動態程式庫的時候,會先在應用程式當前目錄搜尋,然後才會搜尋Windows所在目錄,再次是
system32和system所在目錄。而我們前面做的試驗正是利用了這個特點,在QQ所在目錄中建立一個名字為ws2—32.dll的“目錄”,系統會把它當作一個檔案優先調用,而實際上ws2_32.dll是目錄而非QQ所需的檔案,所以QQ就給“憋死了”!
上面我們是建立名為ws2_32.dll的目錄,,下面我們再建立一個名為ws2_32.dll的檔案,看看會怎么樣?結果完全相同,還是無法登入QQ!這也證明了我們上面的分析是正確的。
最後,再告訴大家一個好方法:如果有人在QQ上不斷地用語言侮辱你,在忍無可忍時,可以點擊對方的頭像,然後選擇“傳送檔案”,傳送給對方一個長度為0位元組的檔案(用記事本新建一個檔案,什麼都不輸入,保存退出,即可得到一個長度為0的檔案),之後,你就不會看到他
喋喋不休的廢話了,因為他的QQ已經崩潰了!要提醒大家的是不要亂用此方法,當心進入別人的“黑名單”喔。
典型QQ病毒
QQ龜
1、病毒名稱:Trojan/QQMsg.Zigui
病毒類型:木馬
影響平台:Win 9x/2000/XP/NT/Me/2003
“QQ龜”是一個木馬程式,通過向QQ好友群發病毒
程式檔案進行傳播。檔案名稱極具欺騙性,甚至調侃
腦白金廣告 “今年過年不收禮,收禮只收白骨精(搞笑版廣告)”,繼而盜取用戶機密信息,並將盜取的信息傳送給黑客。
QQ愛蟲
中 文 名:QQ愛蟲
傳播方式:網路
影響平台:Win 9x/2000/XP/NT/Me/2003
"QQ愛蟲"是通過線上QQ傳送病毒檔案的
網路蠕蟲,該病毒會通過QQ傳送名為“蔡依林短裙顯誘惑[轉帖][
貼圖]”等帶毒檔案,病毒檔案名稱還會包含眾多帶有色情和挑逗性的文字。病毒運行後會從黑客網站下載另一病毒“結巴” (Backdoor/Jieba.2004),後者可以捕獲Win9x/Win2k/WinXp下的幾乎所有普通視窗的登錄密碼。
愛情森林病毒
小心誤入
愛情森林,惡意網頁是
幫凶。2002年8月23日下午,
瑞星全球病毒監控中心首次截獲了一個傳染能力極強的惡性QQ病毒――“愛情森林”(
Trojan.sckiss)。據
瑞星公司的反病毒工程師介紹,此病毒會利用QQ軟體,誘惑用戶打開一惡意網頁,而該網頁會自動下載病毒並修改註冊表產生破壞。
病毒類型:木馬病毒
發作時間:隨機
傳播方式:郵件/網路/QQ誘騙
感染對象:網路
警惕程度:★★★★
病毒介紹:
此病毒是已知的
第一個利用QQ進行傳播並破壞的惡性
木馬病毒。它利用本機QQ,在用戶不知道的情況下向用戶的好友傳送一句訊息:“(網址不便展現)這個你
去看看!很好看的”一旦登入此網站,便會中毒。因為此網站的主頁是一個惡意網頁,它會自動下載“愛情森林”病毒並執行,從而對用戶計算機造成破壞。
此病毒具有以下四大特色:
一、 利用郵件包裝,形成自啟動郵件。
病毒的原始檔案是一個名為HACK.EXE的木馬病毒,病毒作者為了能使病毒“初戰告捷”,迅速占領用戶計算機,利用了OUTLOOK的郵件漏洞,將原始病毒包裝成一個可以預覽執行的病毒郵件:s.eml,然後放入一個惡意網頁中,等待下載。
二、 利用QQ工具,傳送偽裝信息。
如果用戶不小心點擊或預覽了病毒郵件,病毒便可執行。病毒執行時會搜尋用戶的QQ程式,如果用戶線上的話,病毒會偽裝成用戶,給用戶的所有線上的好友傳送一條用戶無法查覺的隱藏信息,此信息的內容為:“(網址不便展現)這個你去看看!很好看的”如果用戶的好友在收到了此信息後,因為好奇而點擊了此連結,則會進入一個惡意網頁。
三、 利用惡意網頁幫凶,導致病毒泛濫。
該惡意網頁用JS語言編寫,利用了JAVA EXPLOIT漏洞,所以不經用戶的允許,便可以悄悄運行自動下載“愛情森林”病毒郵件(s.eml)並執行。然後此惡意網頁會修改用戶
註冊表進行破壞,將用戶的IE標題改為:“(網址不便展現)/愛情森林”,使用戶的“運行”選單項無法使用,並且將用戶的IE
默認首頁改為:“(網址不便展現)”,此惡意網頁還將此網址加入註冊表中的RUN自啟動項。這樣以來,無論用戶啟動計算機還是啟動
IE瀏覽器,都可以自動連結到惡意網頁,感染病毒。
四、 侵占系統目錄,繼續“生生不息”。
“愛情森林”病毒通過QQ傳送信息之後,便開始進行本機的感染。病毒首先改名為:“
EXPLORER.EXE”,然後將之拷貝到WINDOWS的系統目錄(SYSTEM或
SYSTEM32)下,這樣用戶即使發現也不會起疑心,然後病毒修改
註冊表,在RUN的自啟動項中建立一個EXPLORER的鍵值,將病毒路徑加入其中,一旦計算機重啟,病毒便可自動運行,再次進行以上感染。
浪漫的“愛情森林”又升級了,所有的計算機用戶都應該注意,不要被浪漫的病毒騙了。
發作時間:隨機
傳播方式:郵件/網路
感染對象:網路
警惕程度:★★★★
病毒介紹:
1.此病毒是愛情森林的變種,當第一代的病毒網址被封掉以後,病毒又想出了新招。
3.當用戶點擊任何一個.exe檔案時,病毒會根據特定檔案名稱動態生成一個對話框:“某某檔案發現
引導區病毒,請到dos下面用
A盤!”一旦當用戶點確定時,檔案即被刪除。
4.此病毒還會修改本地的
hosts檔案不讓用戶登入一些反毒網站,使用戶無法上網升級病毒庫最新版本。
發作時間:隨機
傳播方式:網路
感染對象:網路
警惕程度:★★★★
病毒介紹:
愛情森林病毒的又一個新變種!此病毒運行時建立5個病毒複本:WIN386.SWP、
WINUPDATE.EXE、INTERNETS.EXE、WINVER.EXE、HOSTS,並將系統的交換檔案替換掉,而且還偽裝成系統的更新檔案躲在啟動目錄中。另外,病毒會將可執行的關聯改成病毒體,這樣用戶運行其他程式時會直接運行病毒體,而且有些程式運行時還會被此病毒刪除。
此病毒有如下特徵:
1. 建立5個病毒副本,系統啟動後病毒會自動運行:
C:\WINDOWS\WIN386.SWP |
C:\WINDOWS\START MENU\PROGRAMS\WINUPDATE.EXE |
C:\WINDOWS\SYSTEM32\INTERNETS.EXE |
C:\WINDOWS\WINUPDATE.EXE |
C:\WINDOWS\WINVER.EXE |
C:\WINDOWS\HOSTS |
2. 將
註冊表中的HKCR\exefile\shell\open\command項的內容改為:C:\WINDOWS\
winupdate.exe %1 %*",這樣用戶
雙擊任何程式都會不啟動程式而直接啟動病毒。
3. 有時一些啟動的應用程式還會被此病毒莫名其妙地刪除。
QQ偽裝專家
發作時間:隨機
傳播方式:網路
感染對象:網路
警惕程度:★★★★
病毒介紹:
此病毒用高級語言編寫並用
aspack工具壓縮。病毒會偽裝成真正的QQ程式啟動,並在桌面上建立一個名為:“QQ2000b”的捷徑,而真正QQ的捷徑是:“騰訊QQ”。病毒運行時會將用戶的QQ號碼與密碼偷偷傳送到指定信箱。病毒有極強的網路傳染能力,如果發現區域網路中有已分享資料夾,便將自身拷貝到已分享資料夾下,誘使用戶運行。病毒會通過郵件系統傳播。建立標題為:“這是我的照片”,附屬檔案為:“photo.gif.exe”的病毒郵件。另外,病毒還會攻擊印表機。一旦檢測到印表機的存在,病毒便會不斷地通過印表機大量列印
病毒代碼,損耗印表機,浪費紙張。
病毒一般會有如下特徵:
2. 在桌面上建立一個名為:“QQ2000b”的捷徑。
3. 啟動後會將自己拷貝到系統目錄下,並改名為 windll.exe,photo.gif.exe 和 notepads.exe。
4. 病毒會在
註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中添加一個鍵值為:WinIme,內容為:C:\WINNT\
SYSTEM32\windll.exe的自啟項。
5. 病毒會修改註冊表,將命令接口(
HKEY_CLASSES_ROOT\Txtfile\shell\open\command)改為病毒體,這樣即使是自啟動項被用戶刪除了,病毒也會照常運行。
6. 病毒會利用郵件進行傳播,產生標題為:“這是我的照片”,附屬檔案為:“photo.gif.exe”的病毒郵件。
QQ竊手
Worm.Gop.3(QQ竊手)是近日出現的一種新型的
蠕蟲病毒,它以攻破
聊天工具OICQ密碼為目標,同時也會惡意泄漏用戶的重要信息。此病毒蔓延速度極快,據
瑞星全球病毒監測網報告,這是一種傳播力極強的病毒,國內也已經發現病毒信息,所以廣大用戶應緊急採取預防措施,避免遭受損失。
病毒名稱:Worm.Gop.3
別名:QQ竊手
發作時間:隨機
傳播方式:網路/檔案
感染對象:網路/檔案
警惕程度:★★★
病毒介紹:
Worm.Gop.3(QQ竊手)病毒主要通過郵件形式傳播,最具危害的是:它具有與
尼姆達病毒類似的“預覽信件即受感染”的能力,這樣用戶不用打開病毒郵件就已經遭受感染。它具有傳染極快、結構複雜等特點,它所造成的危害主要就是泄漏用戶
ICQ(OICQ)密碼,同時將用戶在感染前處理的最後一個檔案(近期檔案,對用戶來講往往很重要)通過附屬檔案形式,通過郵件形式寄出,這樣用戶的很多隱私就有可能在不知不覺中泄露出去。
發作現象:
Worm.Gop.3(QQ竊手)自身捆綁了一個
DLL檔案,和一個隨機的文檔,當病毒運行後會在系統目錄下釋放出一個kernelsys32.exe,然後kernelsys32.exe將自動啟動。(此病毒還會在臨時目錄下將自身帶的WORD檔案釋放出來,並將此檔案打開,藉此來掩飾自己的行為。)
Kernelsys32.exe會釋放出一個IMKERNEL32.SYS的檔案,並將IMKERNEL32.SYS注入其他的進程空間內,該檔案注入進程空間內後就開始竊取本地的QICP的帳號和密碼。然後當QICQ啟動時,它會判斷當前的視窗標題如果是“QQ用戶登錄”或是“OICQ用戶登錄”就將
竊取用戶輸入的密碼,並將密碼和帳號保存在系統目錄下的drocerr.sys檔案中,同時備份到系統目錄下的drocerrbk.sys檔案中。
病毒還會自動查找最近打開過的檔案,如果檔案是以下類型(bmp、
rtf、
doc、
txt、
gif、
jpeg、
jpg)並且小於80k,病毒就將此檔案捆綁在自己後面,形成一個exe檔案作為附屬檔案傳送給別人。這樣收信人會以為收到了一個無害的檔案,一但在Outlook Express或者windows中預覽了這個郵件,會立刻感染這個
蠕蟲。信件的主題為以下之一:
想念你的模樣 | 想我的小寶貝了 | 快樂 |
給我永恆的愛人 | 我愛你 | 想念 |
我在等著你 | 吻你 | 你是我的女主角 |
愛,有時候真的不能去比較的 | 哎 | Fw:姐姐的照片 |
記得收好我的照片呀! | xue | 您的朋友 |
張 | 給您寄來賀卡 | |
信件的內容為各種
情書。這對於佳節將至的廣大用戶來說,是很容易被蒙蔽的。
清除Worm.Gop.3(QQ竊手)病毒的方式是用防毒軟體將其全面殺除。
預防Worm.Gop.3(QQ竊手)的辦法與多數
蠕蟲病毒的方法類似:就是不要打開上文提到的主題郵件,其次是警惕
陌生郵件,為了避免受到病毒侵襲用戶還應使用優秀的
防火牆軟體――如
瑞星防火牆進行防堵預防,並儘快對防毒軟體進行升級。
QQ騙子
病毒名稱:Hack.QQ2000.Trick
病毒別名:QQ騙子
發作時間:隨機
病毒類型:黑客程式
傳播方式:網路
警惕程度:★★★★
病毒介紹:
此病毒模仿oicq軟體,將用戶填寫的登錄號碼和密碼傳送到指定信箱,從而竊取用戶個人信息。由於此程式的外表做得和真正的oicq軟體的
圖示完全一致,所以對於用戶造成了很大的迷惑,極易讓人上當。
發作現象:
此病毒與真正的QQ有同樣的圖示,如果用戶雙擊此病毒檔案,病毒即運行,跳出一個信息框,讓用戶填寫郵件地址,而真正的oicq程式是沒有此信息框的,所以當出現此信息框的時候,則表明用戶正在使用QQ騙子,而不是真正的QQ。與此同時QQ騙子還會在桌面生成一個捷徑,此捷徑也與真正的oicq軟體的捷徑相同。用戶如果再雙擊QQ騙子生成的捷徑的話,又會跳出一個與oicq軟體相同的登入界面,如果此時用戶將自己的登錄號碼和密碼填寫上去,並按確定鍵的話,又會跳出一個信息框,顯示登錄失敗,而實際上,與此同時,剛才用戶所填寫的信息已被傳送到病毒製造者所指定的信箱中,從而用戶的私人信息便被
泄露出去了。
QQ尾巴
2003年10月以來網上出現一種叫做“
QQ尾巴(Trojan.QQ3344)”的
木馬病毒。該病毒會偷偷藏在你的系統中,當 你在使用QQ的時候,它會自動尋找QQ視窗,給線上上的QQ好友傳送諸如“剛剛朋友給我發來的這個東東。你不看看要後悔喔--”之類的假訊息,如果有人信以為真點擊該連結的話,將會感染上病毒,並且成為病毒的傳播源。
一、該病毒的主要特徵:
這種病毒並不是利用QQ本身的漏洞進行傳播。它其實是在某個
網站首頁上嵌入了一段惡意代碼,利用IE的
iFrame系統漏洞自動運行惡意
木馬程式,從而達到侵入用戶系統,進而藉助QQ進行垃圾信息傳送的目的。用戶系統如果沒安裝漏洞補丁或沒把IE升級到最高版本,那么訪問這些網站的時候其訪問的網頁中嵌入的惡意代碼即被運行,就會緊接著通過
IE的漏洞運行一個木馬程式進駐用戶機器。然後在用戶使用QQ向好友傳送信息的時候,該木馬程式會自動在傳送的訊息末尾插入一段廣告詞,通常都是以下幾句中的一種。
QQ收到信息如下:
1. HoHo~~ ***剛才朋友給我發來的這個東東。你不看看就後悔喔,嘿嘿。也給你的朋友吧。 |
2. 呵呵,其實我覺得這個網站真的不錯,你看看**** |
3. 想不想來點搖滾粗口舞曲,中華 DJ 第一站,網址告訴你***********不要告訴別人 ~ 哈哈,真正算得上是國內最棒的 DJ 站點。 |
4.*** 幫忙看看這個網站打不打的開。 |
5. *** 看看啊。我最近照的照片~ 才掃描到網上的。看看我是不是變了樣? |
二、解決方法:
1.在運行中輸入
MSconfig,如果啟動項中有“
Sendmess.exe”和“wwwo.exe”這兩個選項,將其禁止。在C:\WINDOWS一個叫qq32.INI的檔案,檔案裡面是附在QQ後的那幾句廣告詞,將其刪除。轉到DOS下再將“Sendmess.exe”和“wwwo.exe”這兩個檔案刪除。
2.隨時升級防毒軟體。
3.安裝系統漏洞補丁
由病毒的播方式我們知道,“
QQ尾巴”這種
木馬病毒是利用IE的iFrame傳播的,即使不執行病毒檔案,病毒依然可以藉由漏洞自動執行,達到感染的目的。因此應該敢快下載IE的iFrame漏洞補丁。
QQ連發器
警惕程度:★★★★
發作時間:隨機
病毒類型:木馬病毒
傳播方式:QQ軟體
感染對象:QQ用戶
依賴系統: WIN9X//NT/2000/XP
病毒介紹:
該病毒運行後會偷偷藏在用戶的系統中,並修改
註冊表進行自啟動。發作時會尋找QQ視窗,每隔1分鐘就給被感染用戶的所有線上的QQ好友傳送諸如“快去這看看,裡面有蠻好好東西-- ”之類的假訊息,誘惑用戶點擊一個網站,如果有人信以為真點擊該連結的話,就會被病毒無情感染,然後成為毒源,繼續傳播。
病毒的發現與清除:
此病毒會有如下特徵,如果用戶發現計算機中有這些特徵,則很有可能中了此病毒:
1. 病毒運行時會將自身複製到系統目錄下,命名為:WebAuto.exe。
2. 病毒會修改註冊表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run啟動項中添加鍵值WebAuto.exe,該鍵值的內容是病毒的檔案路徑,在下一次啟動計算機時,病毒就會自動運行。
3. 病毒會將用戶系統中的IE默認首頁改為:*********** ,使用戶一上網就中招。
4. 病毒會尋找QQ的傳送訊息視窗,給用戶所有好友隨機傳送以下訊息:
1. "激情電影爽啊!給你也推薦一下,完全免費--"; |
2. "快去這看看,裡面有蠻好好東西--"; |
|
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了QQ 連發器(
Trojan.WebAuto、Trojan.WebAuto.a)病毒。
美女殺手
傳播途徑:QQ軟體/網路
依賴系統: WINDOWS 9X/NT/2000/XP
病毒介紹:
2004年2月27日,
瑞星全球
反病毒監測網率先截獲一個傳播非常迅速,破壞性很強的的惡性木馬病毒,並命名為“美女殺手 (Trojan.Legend.Syspoet.b)”病毒,該病毒通過QQ傳送虛假訊息給線上好友,導致線上好友上當。病毒會將自己偽裝成網址,當用戶點擊該網址時會出現一副美女照片,當照片被打開的時候用戶的電腦則已經被病毒感染。
該病毒會利用微軟瀏覽器的漏洞進行攻擊,瀏覽器版本級別低於IE6.0 SP1的電腦染毒後,病毒會修改一些檔案的關聯,導致象OFFICE軟體、
任務管理器、
註冊表編輯器等程式無法使用,該病毒還會破壞
資源管理器,只要用戶打開目錄的深度超過五級,病毒就自動關閉瀏覽器。該病毒會幹掉含有“防毒”字樣的視窗,因此會造成一些反病毒軟體及病毒
專殺工具無法使用、一些反病毒公司的主頁無法登入等現象。另外該病毒會修改用戶電腦的系統配置,導致用戶重啟系統時無法進入“我的電腦”。
病毒盜取《傳奇》遊戲的密碼和其他信息,並通過十幾個
郵件伺服器向外傳送大量的病毒郵件,阻塞網路。據
瑞星反病毒工程師介紹,沒有被感染的用戶可以通過
個人防火牆來預防該病毒,當用戶發現有
Mshta.exe的程式訪問外部網路時,應該立刻禁止,如果該程式訪問網路成功,將會對用戶電腦產生上述破壞。
病毒的特性、發現與清除:
2. 病毒一旦執行,病毒將自我複製到
系統資料夾,並重命名為隨機檔案名稱的
執行檔。
3. 病毒將在
註冊表啟動項下,創建隨機註冊表
鍵值來使自己隨Windows系統自啟動。
5. 通過QQ傳送虛假訊息給線上好友,導致線上好友上當。
6.盜取遊戲“傳奇”的各種信息,將盜取的信息傳送到可配置的指定信箱。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“美女殺手(Trojan.Legend.Syspoet.b)”病毒。
QQ女友
該病毒採用VC++(SDK)編寫,是一個通過QQ傳播的病毒。
一、病毒評估
1.病毒中文名:QQ女友
2.病毒英文名:Worm.LovGate.v.QQ
5.病毒危險等級:★★★★
6.病毒傳播途徑:網路
7.病毒依賴系統:WINDOWS9X/NT/2000/XP
二、病毒的破壞
利用QQ傳送誘惑信息,導致用戶上當。病毒傳送一些誘惑新的文字和
連結給線上的好友,致使不明真相的用戶上當。
三、病毒報告
1.複製自己到系統目錄:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "Network Associates,Inc." = "INTERNET.EXE" |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "S0undMan" = "%SYSDIR%\SVCH0ST.EXE" |
3.病毒運行後將建立一個HTTP伺服器,監聽TCP連線埠20808
該功能將回響遠程的下載請求,將本地的病毒檔案複製到遠程機器。
4.病毒搜尋QQ聊天軟體,向線上的好友傳送誘惑信息,內容如下:
“你是那樣地美,美得象一首抒情詩。你全身充溢著少女的純情和青春的風采。
留給我印象最深的是你那雙湖水般清澈的眸子,以及長長的、一閃一閃的睫毛。
像是探詢,像是關切,像是問候。
這是你需要的東西:
下載地址1
http://*.*.*.*::20808//%DRIVE%c:\\filename.exe
下載地址2
http://*.*.*.*::20808//%DRIVE%c:\\filename.exe”
上面的內容頭部也可能為下列之一:
其實,我最先認識你是在照片上。照片上的你托腮凝眸,若有所思。那份溫柔、那份美感、那份嫵媚,使我久久難以忘懷 |
遠遠地,我目送你的背影,你那用一束大紅色綢帶扎在腦後的黑髮,宛如幽靜的月夜裡從山澗中傾瀉下來的一壁瀑布。 |
你蹦蹦跳跳地走進來,一件紅尼大衣,緊束著腰帶,顯得那么輕盈,那么矯健,簡直就像天邊飄來一朵紅雲。 |
你笑起來的樣子最為動人,兩片薄薄的嘴唇在笑,長長的眼睛在笑 |
春花秋月,是詩人們歌頌的情景,可是我對於它,卻感到十分平凡。只有你嵌著梨渦的笑容,才是我眼中最美的偶象。 |
你其有點像天上的月亮,也像那閃爍的星星,可惜我不是詩人,否則,當寫一萬首詩來形容你的美麗。 |
你是一尊象牙雕刻的女神,大方、端莊、溫柔、姻靜,無一不使男人深深崇拜。 |
在風吹乾你的散發時,我簡直著魔了:在閃閃發光的披肩柔發中,在淡淡入鬢的蛾眉問,在碧水漓漓的眼睛裡……你竟是如此美麗可人! |
你是花叢中的蝴蝶,是百合花中的蓓蕾。無論什麼衣服穿到你的身上,總是那么端莊、好看。 |
你那瓜子形的形(編者註:該字疑為病毒作者筆誤),那么白淨,彎彎的一雙眉毛,那么修長;水汪汪的一對眼睛,那么明亮 |
其中*.*.*.*為本機地址,%filename%為下列之一:
"c:\setup.exe" | "c:\hello.exe" | "c:\flash" | "c:\123456.exe" | "c:\pass.exe" |
"c:\game.exe" | "c:\my_photo.exe" | "c:\update.exe" | "c:\mp3.exe" | "c:\666666.exe" |
這些都是病毒本身。
5.鑒於該病毒的特殊性,尤其是女性的使用QQ的用戶,請看到上述信息時請不要上當。
四、病毒解決方案:
1.進行升級
瑞星公司將於2004年3月12日當天進行升級,升級後的
軟體版本號為16.17.20,該版本的
瑞星防毒軟體可以徹底查殺此病毒,瑞星防毒軟體標準版和網路版的用戶可以直接登入瑞星網站
2.使用專殺工具
鑒於該病毒的危害性比較嚴重,瑞星公司還為手中暫時沒有防毒軟體的用戶提供了免費的病毒專殺工具,
用戶還可以使用瑞星公司的線上防毒與下載版產品清除該病毒,這兩款產品有多種支付途徑
4.打電話求救
如果遇到關於該病毒的其它問題,用戶可以隨時撥打
瑞星反病毒急救電話。
5.手動清除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "Network Associates,Inc." = "INTERNET.EXE" |
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run "S0undMan" = "%SYSDIR%\SVCH0ST.EXE" |
註:%WINSYS%位Windows系統的
安裝目錄,在win9x,winme,winxp下默認為:C:\WINDOWS\SYSTEM,win2k下默認為:C:\WINNT\
SYSTEM32。
五、安全建議:
qq病毒
1.建立良好的安全習慣。例如:不要輕易打開一些來歷不明的郵件及附屬檔案,不要上一些不太了解的網站,不要運行從網際網路上下載的未經防毒處理的軟體等,這些必要的習慣會使您的計算機更加安全。
2.關閉或刪除系統中不需要的服務。默認情況下,作業系統會安裝一些輔助服務,如 FTP 客戶端、
Telnet和 Web 伺服器。這些服務為攻擊者提供了方便,而又對用戶沒有太大作用,如果刪除它們,就能大大減少被攻擊的可能性,增強電腦的安全。
4.使用複雜的密碼。有許多網路病毒是通過猜測簡單密碼的方式攻擊系統的,因此使用複雜的密碼,將會大大提高計算機的安全係數,減少被病毒攻擊的
機率。
5.迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6.了解一些病毒知識。這樣您就可以及時發現新病毒並採取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。如果能了解一些
註冊表知識,就可以定期看一看註冊表的自啟動項是否有可疑鍵值;如果能了解一些記憶體知識,就可以經常看看記憶體中是否有可疑程式。
7.最好是安裝專業的防毒軟體進行全面監控。在病毒日益增多的今天,使用防毒軟體進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟體之後,應該經常進行升級、將一些主要監控打開(如郵件監控)、遇到問題要及時上報,這樣才能真正保障計算機的安全。