圖文詳解QQ病毒查殺實戰

　　原野編輯讓我寫則殺除qq病毒的稿件，為此他特地給我找來大約7個qq病毒，實在是非常感謝。為了貪圖省事，我就一起在自己機器上運行了。首先讓我們來看看這些病毒（工具）運行時候的畫面，然後天緣將給大家介紹如何一步一步的查殺這些病毒。

　　1. 運行"一生有你.exe"之後出現的圖片

·基於JSF開發實戰經驗·平民的三維 矢量的三維--Cool 3D 3.5實·Atlas快速入門之實戰Atlas·無間地獄-實戰技巧 Infernal·VirtualDJ: 虛擬DJ 實戰精彩·風雨雷電→自然現象動畫實戰技術·PS & CD商業實戰：易拉罐設計·X3D實戰基礎講座之一·UniX技術 AIX實戰經驗·實戰：6GB內存運行Windows Vista！

　　看得出來，這個就是利用了大家喜歡看網友照片或者某些圖片的好奇心，把木馬文件和圖片捆綁起來運行的。

　　2. 運行"qq信使功能客戶端生成器"出現的界面；

　　這個很顯然是讓用戶刻意運行的--難道還有人會傻到自己運行木馬麼？沒錯，在網吧等公共環境中，存在這這樣一類人，故意在所用的機器上啟用qq密碼盜取木馬，然後立即下機，後來的上網者就都成了該木馬的受害者--這樣獲取它人的qq以便謀利。我還是生成並運行了它。

　3．Trojan.PSW.QQpass.ak.a.exe 、Trojan.PSW.QQPass.ar.exe 以及另外3個病毒程序，我之後沒有出現任何界面；　　這個大概是配合其他感染方式使用的吧，例如配合惡意web頁面使用，利用ie漏洞自動下載並執行；

　　4．運行Trojan.PSW.QQPass之後的無任何界面　　我想是同上類型的，值得一提的是該病毒是一個典型的delphi程序的圖標，而且運行方式有點特別，後面我詳細說說；

　　5．運行qqinfo.exe 之後無任何界面； 　　但查看了一下它文件夾中的選項，有供替換用的internat.exe文件，不知為何在我機器上它替換失敗，哈哈。看了一下那個internat.exe文件的屬性，其版本號是5.0，猜測是對應win2k和winxp的，我這裡是win98，所以無法替換吧？？

　　ok，該運行的病毒我全都運行起來了，現在看看到底這些病毒在我們系統中做了哪些手腳吧？？

　　一般來說，qq病毒都是獨立的程序，通過啟動的時候自動加載，檢查qq的登陸窗口句柄，通過控件id獲得用戶的id號和密碼值。也就是說，木馬的成功分為2個部分：1.硬盤上存在盜取密碼的程序；2.該程序被成功執行。明白了這點後，我們就可以分2步來分析這些盜取號碼的軟件：　　首先我們來看看這些病毒在硬盤上的位置，根據天緣的經驗，木馬程序最喜歡在系統盤的根目錄下，在windows的目錄下（包括system和system32目錄）和qq所在的盤/目錄裡最有可能隱藏病毒文件，讓我們去以上各個目錄看看。

　　首先，進入c盤的根目錄，使用資源浏覽器將文件按修改時間排序，發現無故多了張名字為dream.jpg，大小為48k的圖片，打開一開，正是名為"一生有你.exe"這個病毒執行後出現的那張圖片，看來該qq病毒應該是利用了捆綁工具，將jpg文件和病毒文件捆綁到了一起，這類病毒專門針對喜歡看網友照片的朋友而設計的，哈哈。除了這文件外，沒發現其他文件被改變。 ok，接下來到c:\windows 目錄下來看看（天緣裝的操作系統是win98，如果在2k中就該是winnt目錄哦），同樣將文件按照時間排序看看。　　發現增加了一個名為qqinfo.exe文件，　　增加了一個名為intren0t.exe的程序，　　增加了一個名為intrenat.exe的程序

同時user.dat和system.dat的最後訪問時間也被修改了，熟悉注冊表的朋友都知道，這2個文件正是注冊表的真實文件，這就從側面提示了提示我們，我運行的qq病毒軟件修改了注冊表。

　　接下來到system目錄下去看看：　　發現該目錄下增加了一個名為explorer.exe的程序（這個程序跟資源管理器同名，不少的病毒/木馬都喜歡取一些跟系統本身固有程序類似的名字來混轄視聽，從下圖可以看出，圖標也是完全不同的）；　　增加了一個名為：winms.exe的程序　　增加了一個uhqq.dll的程序

　　系統盤就找到這麼多，接著到其他盤去看看

　　來到d盤根目錄，發現增加了一個autorun.inf文件。

　　是個文本文件，打開一看，原來是指向D:\Program Files\FNYP.EXE。autorun.inf本來的作用是訪問該分區的時候自動執行某些任務，自學教程，例如光驅自動讀盤就是用它實現的，但現在很多病毒也喜歡玩這個。Ok，不用說了，這個也是病毒干的，至於是哪個病毒呢？我猜測是Trojan.PSW.QQPass這個，因為圖標同樣是delphi的程序圖標。

　　圖文詳解 QQ病毒查殺實戰

　在這主鍵下面不遠的runservices 鍵值中，也發現幾個不對勁的地方

　　好了，之後就沒有再查找到可疑程序，到這裡就查找完整了。。。接下來，就是先記錄下來這些可疑文件的文件名字（有位置的順便把文件位置也記錄下來），然後將上面說的可疑鍵值全部刪除掉。其中有一個比較特別的是rundll32.exe文件，這個本是windows的自帶文件，但是病毒文件將其替換掉了，恢復方法見後。

　　Ok，關閉regedit，等待個幾分鐘，然後再打開regedit看看，重復一下上面的操作，看看剛才在注冊表裡的鍵值是否真的刪除掉了。因為利用改寫系統system i/o操作，可以作到令刪除指定文件/注冊表項目的操作無效--該技術目前只看到3721用到過。我查了一下，的確都刪除了，看來這些木馬技術含量還真不是一般的低，真好殺。

　　現在讓我們運行一下scanregw，重新備份注冊表

　　為什麼這裡要重新備份一次呢？？因為windows有個習慣，就是如果是非法關機，那麼此次的注冊表操作都不保存--我曾經遇到過不少病毒利用這點來刻意令windows無法正常關機，達到用戶即使清理了注冊表也無效的效果。因此為了預防這點，我們重新備份一次注冊表--這時候的注冊表中已經是沒有木馬選項的了。

　　好了，重新啟動計算機，開機按f8，進入到安全模式中。這時候因為不運行注冊表裡的啟動程序，所以所有的木馬都成了一匹死馬--除了d盤下的利用autorun.inf的那個。等下特別關照它。

　　按照剛才記錄下來的程序位置，依次進入到該目錄中將該病毒文件刪除；上面提到過，除了一個特殊的木馬外，其他的都在c盤，所以直接進到相應目錄裡，刪除文件即可。

　　接下來，在"我點電腦中"，在d盤上點右鍵，選擇"打開"方式打開d盤（如下圖），注意，這一步不可以直接雙擊d盤圖標打開，那樣會導致d盤根目錄下的autorun.inf自動執行，別忘記了d盤的木馬還沒刪除掉呢。

ok，然後進到d盤的program file目錄，將那個木馬刪除；用同樣的方式進入e盤，將根目錄下的autorun.inf文件刪除掉；到現在為止，所有的木馬都被我們刪除掉了。 對於上面提到過的c:\windows 系統下被替換掉了的rundll32.exe怎麼辦？雖然我們已經將該木馬刪除了，5自學網，但是該文件是被系統所需要的，所以還需要恢復一個干淨的rundll32。對於win98來說，可以使用系統自帶的系統文件檢查器，對於win2k/xp來說，可以直接從別人機器上copy一個就行了，文件不大，即使網絡傳輸也很快。下面來看看win98下如何使用系統文件檢查器。

　　在 開始--運行 中輸入"sfc"，打開系統文件檢查器　　然後選擇"從安裝軟盤提取一個文件"，在下面的輸入欄中輸入rundll32.exe 接著點"開始"，彈出如下界面

　　將"還原自"那裡輸入你的windows安裝盤位置，然後點"確定"就行了。到這裡為止--運行的所有qq密碼盜竊病毒都被我們刪除干淨了。

　　接下來，再重新啟動一次計算機，您就可以放心上網聊qq去了。其實qq軟件木馬的功能相當單一，殺除也相當容易，但是大多數用戶是在發現被盜後才察覺到，屬於亡羊補牢。最好的辦法就是預防中毒，盡量不要接受陌生人的文件，在網吧上網的時候在下機前修改qq密碼，另外最為重要的就是認真填寫密碼保護資料--如果qq被盜，而密碼保護資料是亂填的，或者太簡單或者根本就沒密碼保護，那麼qq號大概是很難尋回了。