详细讲解六大QQ病毒的特征以及清除方法

天涯海角

<br>一、“QQ尾巴”病毒 <br>　　病毒主要特征 <br><br>　　这种病毒并不是利用QQ本身的漏洞 进行传播。它其实是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统，进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本，那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行，就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，通常都是以下几句中的一种。 <br><br>　　QQ收到信息如下： <br><br>　　1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。 <br><br>　　2. 呵呵，其实我觉得这个网站真的不错，你看看http://www.ktv***.com/ <br><br>　　3. 想不想来点摇滚粗口舞曲，中华 DJ 第一站，网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈，真正算得上是国内最棒的 DJ 站点。 <br><br>　　4. http//www.hao***.com 帮忙看看这个网站打不打的开。 <br><br>　　5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样? <br><br>　　清除方法： <br><br>　　1．在运行中输入MSconfig，如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。在C：\WINDOWS一个叫qq32.INI的文件，文件里面是附在QQ后的那几句广告词，将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。 <br><br>　　2．安装系统漏洞补丁 <br><br>　　由病毒的播方式我们知道，“QQ尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。

[此贴子已经被作者于2005-12-9 17:53:51编辑过]

天涯海角

三、“QQ狩猎者”病毒 <BR><BR>　　病毒特征： <BR><BR>　　1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网： http://flash2.533.net " <BR><BR>　　2、当浏览带毒网站时，会利用IE漏洞，尝试新增sys文件和tmp文件的执行关联，并下载执行病毒文件 b.sys，如果IE已经打上补丁，则会弹出一个插件对话框，引诱用户安装，安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中，文件名为"b.exe"，如果用户拒绝安装该插件，会不断弹出对话框要求用户安装。 <BR><BR>　　3、复制文件: <BR><BR>　　A、复制病毒体到 %SystemRoot% 文件夹中，文件名为"Rundll32.exe"； <BR><BR>　　B、复制病毒体为 "C:\cmd.exe"; <BR><BR>　　C、试图复制病毒体到共享目录中，名为"病毒专杀.exe"和"周杰伦演唱会.exe"。 <BR><BR>　　4、添加注册表启动项，以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe" <BR><BR>　　5、修改和新增以下文件关联 <BR><BR>　　A、修改.exe文件的关联，每当执行exe文件时，即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\exefile\shell\open\command 修改如下键值：默认="C;\cmd.exe %1 &amp;*" <BR><BR>　　B、新增.sys文件的执行关联，使得在浏览带毒网站时执行病毒文件 b.sys在注册表的主键: HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下键值：默认="""%1"" %*" <BR><BR>　　C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下键值：默认="""%1"" %*" <BR><BR>　　6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。 <BR><BR>　　7、在Win2000、WinXP、Win2003系统中，系统文件"Rundll32.exe"就在系统目录中，因而病毒会尝试将该文件覆盖，但这几个系统都能自动保护并恢复受到破坏的系统文件，因而病毒不能正常加载，但仍可以通过EXE关联被加载. <BR><BR>　　清除方法: <BR><BR>　　A、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能； <BR><BR>　　B、重新启动到安全模式下； <BR><BR>　　C、先将regedit.exe改名为regedit.com，再用资源管理器结束cmd.exe进程，然后运行regedit.com，将EXE关联修改为""%1" %*"，再删除以下文件:C:\cmd.exe、%Windows%\Download Program Files\b.exe。对于Win9x系统，还要删除%SystemRoot%\Rundll32.exe，再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会.exe"这两个文件，文件大小为11184字节，如果有，将其删除。 <BR><BR>　　D、清理注册表: <BR><BR>　　打开注册表，删除主键 HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open 修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 的键值为 "%1" %* <BR><BR>　　防范措施： <BR><BR>　　不要轻易点击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。

天涯海角

四、“武汉男生”病毒 <BR><BR>　　病毒特性： <BR><BR>　　此病毒是“武汉男生”的一系列新变种，病毒发作后会利用QQ聊天工具进行传播，定时给QQ网友发送包含网址的信息来诱使用户点击，该网页利用了IE的Object Data漏洞下载并运行病毒本身，该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL，IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta，那么该URL指定的文件就能够执行，无论IE设置的安全级别有多高。 <BR><BR>　　该变种较明显的特点是，病毒运行后，除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息，并以邮件形式发给盗密码者，还会结束多种反病毒软件，以保护自身不被清除。 <BR><BR>　　(1)如果点击病毒网页，将会显示美女图片，而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞，下载并运行leoexe.gif和leo.asp文件，其中leoexe.gif并不是图像文件，而是exe类型的病毒体，leo.asp是病毒释放器； <BR><BR>　　(2)病毒一旦运行，将结束大部分杀毒软件、防火墙以及某些病毒专杀工具； <BR><BR>　　(3)每隔一段时间给QQ网友发送信息 <BR><BR>　　(4)病毒运行后会复制自身到系统目录下，文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表 <BR><BR>　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加： <BR><BR>　　“windows update” = “%安装目录%\system\updater.exe” %安装目录% 是Windows 系统的安装目录，在不同系统下该目标表现可能不同，可能的有：c:\windows；c:\winnt 等。 <BR><BR>　　(5)修改文本文件（*.txt）关联和可执行文件关联，直接指向病毒本身，如果用户运行任意的txt文件和exe文件都会激活病毒。 <BR><BR>　　(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息，发送到指定的E-Mail信箱。 <BR><BR>　　清除病毒 <BR><BR>　　1、删除病毒在系统目录下释放的病毒文件 <BR><BR>　　2、删除病毒在注册表下生成的键值 <BR><BR>　　3、运行杀毒软件，对病毒进行全面清除

天涯海角

<P>五、“爱情森林”病毒 <BR><BR>　　（一）病毒特征 <BR><BR>　　该木马程序原始文件名为hack.exe，用Delphi编写，并用UPX进行了压缩。木马程序被运行后会： <BR><BR>　　1、复制自身到Windows操作系统的system目录(通常为windowssystem)下，并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会迷惑用户，使用户误认为这是一个正常的系统文件。 <BR><BR>　　2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。（其中%windowssystem%为Windows的系统目录） <BR><BR>　　3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe， <BR><BR>　　并执行下载下来的程序，进行其它的破坏活动。 <BR><BR>　　清除方法 <BR><BR>　　(1)先打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 <BR><BR>　　(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 <BR><BR>　　（二）变种一病毒特征 <BR><BR>　　该病毒运行后会： <BR><BR>　　1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下，并分别更名为rundll.exe和sysedit32.exe。 <BR><BR>　　2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe"，使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。 <BR><BR>　　3、修改注册表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe，关联记事本，使用户打开txt文件时木马程序能获得运行机会。 <BR><BR>　　4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net，你快去看看” <BR><BR>　　的消息，诱导用户浏览含有恶意代码的网页。 <BR><BR>　　5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是，由于病毒作者使用了一个组件来发送邮件，因此当木马程序执行发送邮件的操作时，该组件可能会弹出两个对话框，其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”，另外一个对话框为“Cannot open file .mima.txt”。 <BR><BR>　　清除方法 <BR><BR>　　(1)打开任务管理器，结束掉RUNDLL和SYSEDIT32进程。 <BR><BR>　　(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件（文件大小为1781752字节）。 <BR><BR>　　(3)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹) <BR><BR>　　(4)若根目录下存在文件setup.txt或mima.txt,将其删除。 <BR><BR>　　（三）变种二病毒特征 <BR><BR>　　该木马程序被包装在一个名为s.eml的邮件中，并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时，邮件中的木马程序（Hack.exe）就会自动运行。 <BR><BR>　　木马程序被运行后会： <BR><BR>　　1、复制自身到Windows系统目录（通常为windowssystem）下，改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会使用户误认为这是一个正常的系统文件。 <BR><BR>　　2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。（其中%windowssystem%为Windows的系统目录） <BR><BR>　　3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看，很好看的”， <BR><BR>　　当用户点击该网址浏览时，木马程序就会被再次激活，从而使该木马通过QQ聊天工具不断地传播自己。 <BR><BR>　　清除方法： <BR><BR>　　(1)打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 <BR><BR>　　(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。 <BR><BR>　　（四）变种三病毒特征 <BR><BR>　　该病毒运行后会： <BR><BR>　　1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下，并分别更名为rundll.exe和sysedit32.exe。 <BR><BR>　　2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe"，使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。 <BR><BR>　　3、修改注册表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe，关联记事本，使用户打开txt文件时木马程序能获得运行机会。 <BR><BR>　　4、修改注册表，修改IE浏览器的默认页，开始页，起始页。 <BR><BR>　　5、该木马会通过QQ程序向其它的QQ用户发送“http://ontimer.spedia.net，你快去看看” <BR><BR>　　的消息，诱导用户浏览含有恶意代码的网页。 <BR><BR>　　6、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。 <BR><BR>　　清除方法： <BR><BR>　　(1)打开任务管理器，结束掉RUNDLL和SYSEDIT32进程。 <BR><BR>　　(2)删除系统文件夹(Win9x通常为Windows\system,WinNt通常为WinNt\system32)下名为RUNDLL.exe和sysedit32.exe的文件（文件大小为1781752字节）。 <BR><BR>　　(3)打开注册表编辑器，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名为intarnet=%windowssystem%\rundll.exe\"的键值。恢复HKEY_CLASSES_ROOT\txtfile\shell\open\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹) <BR><BR>　　(4)恢复IE的设置。打开注册表编辑器，恢复HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page，HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL，HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page的设置为原来的内容。 <BR><BR>　　（五）变种四病毒特征 <BR><BR>　　该木马程序用Delphi编写，并用UPX进行了压缩，但该程序需要用户的机器上安装了Delphi的动态库才能运行。该程序具有同“爱情森林”的第一个版本相同的特征，因此极有可能是病毒作者对“爱情森林”的第一个版本重新编译后生成的。木马程序被运行后会： <BR><BR>　　1、复制自身到Windows操作系统的system目录(通常为windowssystem)下，并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会迷惑用户，使用户误认为这是一个正常的系统文件。 <BR><BR>　　2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。（其中%windowssystem%为Windows的系统目录） <BR><BR>　　3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe， <BR><BR>　　并执行下载下来的程序，进行其它的破坏活动。 <BR><BR>　　清除方法 <BR><BR>　　(1)先打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。 <BR><BR>　　(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名为Explorer的键值</P>

天涯海角

六、“QQ女友”病毒 <BR><BR>　　病毒特征： <BR><BR>　　利用QQ发送诱惑信息，导致用户上当。病毒发送一些诱惑新的文字和链接给在线的好友，致使不明真相的用户上当。 <BR><BR>　　1.复制自己到系统目录： <BR><BR>　　%SYSDIR%\internet.exe <BR><BR>　　%SYSDIR%\svch0st.exe <BR><BR>　　2.修改如下注册表键值病毒自启动的伎俩&gt;： <BR><BR>　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run <BR><BR>　　"Network Associates, Inc." = "INTERNET.EXE" <BR><BR>　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run <BR><BR>　　"S0undMan" = "%SYSDIR%\SVCH0ST.EXE" <BR><BR>　　3.病毒运行后将建立一个HTTP服务器，监听TCP端口20808 <BR><BR>　　该功能将响应远程的下载请求，将本地的病毒文件复制到远程机器。 <BR><BR>　　4.病毒搜索QQ聊天软件，向在线的好友发送诱惑信息，内容如下： <BR><BR>　　“你是那样地美，美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。 <BR><BR>　　留给我印象最深的是你那双湖水般清澈的眸子，以及长长的、一闪一闪的睫毛。 <BR><BR>　　像是探询，像是关切，像是问候。 <BR><BR>　　这是你需要的东西: <BR><BR>　　下载地址1 <BR><BR>　　http://*.*.*.*：:20808//%DRIVE%c:\filename.exe <BR><BR>　　下载地址2 <BR><BR>　　http://*.*.*.*：:20808//%DRIVE%c:\filename.exe” <BR><BR>　　上面的内容头部也可能为下列之一： <BR><BR>　　其实，我最先认识你是在照片上。照片上的你托腮凝眸，若有所思。那份温柔、那份美感、那份妩媚，使我久久难以忘怀 <BR><BR>　　远远地，我目送你的背影，你那用一束大红色绸带扎在脑后的黑发，宛如幽静的月夜里从山涧中倾泻下来的一壁瀑布。 <BR><BR>　　你蹦蹦跳跳地走进来，一件红尼大衣，紧束着腰带，显得那么轻盈，那么矫健，简直就像天边飘来一朵红云。 <BR><BR>　　你笑起来的样子最为动人，两片薄薄的嘴唇在笑，长长的眼睛在笑 <BR><BR>　　春花秋月，是诗人们歌颂的情景，可是我对于它，却感到十分平凡。只有你嵌着梨涡的笑容，才是我眼中最美的偶象。 <BR><BR>　　你其有点像天上的月亮，也像那闪烁的星星，可惜我不是诗人，否则，当写一万首诗来形容你的美丽。 <BR><BR>　　你是一尊象牙雕刻的女神，大方、端庄、温柔、姻静，无一不使男人深深崇拜。 　　在风吹干你的散发时，我简直着魔了：在闪闪发光的披肩柔发中，在淡淡入鬓的蛾眉问，在碧水漓漓的眼睛里……你竟是如此美丽可人！ <BR><BR>　　你是花丛中的蝴蝶，是百合花中的蓓蕾。无论什么衣服穿到你的身上，总是那么端庄、好看。 <BR><BR>　　你那瓜子形的形（编者注：该字疑为病毒作者笔误），那么白净，弯弯的一双眉毛，那么修长；水汪汪的一对眼睛，那么明亮！ <BR><BR>　　其中*.*.*.*为本机地址，%filename%为下列之一： <BR><BR>　　"c:\setup.exe" <BR><BR>　　"c:\hello.exe" <BR><BR>　　"c:\flash.com" <BR><BR>　　"c:3456.exe" <BR><BR>　　"c:\pass.exe" <BR><BR>　　"c:\game.exe" <BR><BR>　　"c:\my_photo.exe" <BR><BR>　　"c:\update.exe" <BR><BR>　　"c:\mp3.exe" <BR><BR>　　"c:6666.exe" <BR><BR>　　这些都是病毒本身。 <BR><BR>　　5.鉴于该病毒的特殊性，尤其是女性的使用QQ的用户，请看到上述信息时请不要上当。 <BR><BR>　　清除方法 <BR><BR>　　（1）打开任务管理器查看是否存在进程名为: INTERNET.EXE或SVCH0ST.EXE,终止它 <BR><BR>　　（2）打开注册表编辑器,删除如下键值&lt;如果存在的话&gt;: <BR><BR>　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run <BR><BR>　　"Network Associates, Inc." = "INTERNET.EXE" <BR><BR>　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run <BR><BR>　　"S0undMan" = "%SYSDIR%\SVCH0ST.EXE" <BR><BR>　　（3）将%WINSYS%目录下的文件: SVCH0ST.EXE和SVCH0ST.EXE删除 <BR><BR>　　注:%WINSYS%位Windows系统的安装目录，在win9x,winme,winxp下默认为:C:\WINDOWS\SYSTEM,win2k下默认为:C:\WINNT\SYSTEM32。