詳解五大QQ病毒特征及清除方法

　　一、“QQ尾巴”病毒

　　病毒主要特征

　　這種病毒並不是利用QQ本身的漏洞 進行傳播。它其實是在某個網站首頁上嵌入了一段惡意代碼，利用IE的iFrame系統漏洞自動運行惡意木馬程序，從而達到侵入用戶系統，進而借助QQ進行垃圾信息發送的目的。用戶系統如果沒安裝漏洞補丁或沒把IE升級到最高版本，那麼訪問這些網站的時候其訪問的網頁中嵌入的惡意代碼即被運行，就會緊接著通過IE的漏洞運行一個木馬程序進駐用戶機器。然後在用戶使用QQ向好友發送信息的時候，該木馬程序會自動在發送的消息末尾插入一段廣告詞，通常都是以下幾句中的一種。

　　QQ收到信息如下：

　　1. HoHo~~ http://www.mm**.com剛才朋友給我發來的這個東東。你不看看就後悔哦，嘿嘿。也給你的朋友吧。

　　2. 呵呵，其實我覺得這個網站真的不錯，你看看http://www.ktv***.com/

　　3. 想不想來點搖滾粗口舞曲，中華 DJ 第一站，網址告訴你http://www.qq33**.com.。不要告訴別人 ~ 哈哈，真正算得上是國內最棒的 DJ 站點。

　　4. http//www.hao***.com 幫忙看看這個網站打不打的開。

　　5. http://ni***.126.com 看看啊. 我最近照的照片~ 才掃描到網上的。看看我是不是變了樣?

　　清除方法

　　1.在運行中輸入MSconfig，如果啟動項中有“Sendmess.exe”和“wwwo.exe”這兩個選項，將其禁止。在C：\WINDOWS一個叫qq32.INI的文件，文件裡面是附在QQ後的那幾句廣告詞，將其刪除。轉到DOS下再將“Sendmess.exe”和“wwwo.exe”這兩個文件刪除。

　　2.安裝系統漏洞補丁

　　由病毒的播方式我們知道，“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的，即使不執行病毒文件，病毒依然可以借由漏洞自動執行，達到感染的目的。因此應該敢快下載IE的iFrame漏洞補丁。

　　二、QQ“緣”病毒

　　病毒特征：

　　該病毒用VB語言編寫，采用ASPack壓縮，利用QQ消息傳播。運行後會將IE默認首頁改變為：HTTP://WWW.**115.COM/，如果你發現自己的IE首頁被修改成以上網址，就是被該病毒感染了。

　　病毒會利用QQ發送例如“今天在網上下了本電子書，書名叫《緣》，寫得不錯，而且書的作者的名字很巧…………點擊下面這個地址可以下載這本書”;“1937年12月13日，300000南京人民被侵華日軍集體大屠殺!!!所有的中國人都不應忘記這個日子，從始至終日本人都沒有改變它們的野心!中華兒女要團結自強牢記歷史，我們要時刻警惕日本人的野心，釣魚島是中國的領土!!!台灣是中國不可分割的一部份!!!請你將此消息發給你QQ上的好友!”等消息，消息裡的鏈接是病毒網址。

　　清除方法：

　　使用了下面的辦法將其徹底刪除。

　　找到下列文件:

　　C:\windows\system\noteped.exe

　　C:\windows\system\Taskmgr.exe

　　C:\Windows\noteped.exe

　　C:\Windwos\system32\noteped.exe

　　刪除掉:其中Taskmgr.exe 要先打開"window 任務管理器",選中進程"Taskmgr.exe",殺掉

　　注意:有兩個名字叫"Taskmgr.exe"進程,一個是QQ病毒,一個是你剛才打開的"Window 認為管理器"

　　然後到注冊表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"

　　找到"Taskmgr" 刪除

　　如果你還不明白那請你先找到那幾個文件，然後再按下面步驟操作:

　　1.在任務欄上點擊鼠標右鍵，選擇任務管理器

　　2.選擇進程裡的Taskmgr.exe，但我後來又測試也進行名稱不一定是大寫的，也有可能是小寫，一般排在上面的一個是。

　　3.點擊開始-運行，輸入Regedit進入注冊表

　　4.在注冊表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run，將Taskmgr"項刪除"。

　　刪除後重啟計算機，《緣》QQ病毒宣布徹底刪除。

　　另外提醒大家，盡快更新你的IE到IE6 SP1 這樣可以減少很多的IE被改機會。

　　近來網上出現一種叫做“QQ尾巴”的木馬病毒。該病毒會偷偷藏在你的系統中，當你在使用QQ的時候，它會自動尋找QQ窗口，給在線上的QQ好友發送諸如“剛剛朋友給我發來的這個東東。你不看看要後悔哦--”之類的假消息，如果有人信以為真點擊該鏈接的話，將會感染上病毒，並且成為病　四、“武漢男生”病毒

　　病毒特性：

　　此病毒是“武漢男生”的一系列新變種，病毒發作後會利用QQ聊天工具進行傳播，定時給QQ網友發送包含網址的信息來誘使用戶點擊，該網頁利用了IE的Object Data漏洞下載並運行病毒本身，該漏洞是由HTML中OBJECT的DATA標簽引起的。對於DATA所標記的URL，IE會根據服務器返回的HTTP頭來處理數據。如果HTTP頭中返回的URL類型Content-Type是Application/hta，那麼該URL指定的文件就能夠執行，無論IE設置的安全級別有多高。

　　該變種較明顯的特點是，病毒運行後，除定時發給QQ網友同樣的網址外還會趁機盜取“傳奇”游戲的帳戶、密碼以及其他信息，並以郵件形式發給盜密碼者，還會結束多種反病毒軟件，以保護自身不被清除。

　　(1)如果點擊病毒網頁，將會顯示美女圖片，而同時彈出一個標題為“asp空間”的不可見窗口。此網頁利用IE漏洞，下載並運行leoexe.gif和leo.asp文件，其中leoexe.gif並不是圖像文件，而是exe類型的病毒體，leo.asp是病毒釋放器;

　　(2)病毒一旦運行，將結束大部分殺毒軟件、防火牆以及某些病毒專殺工具;

　　(3)每隔一段時間給QQ網友發送信息

　　(4)病毒運行後會復制自身到系統目錄下，文件名是updater.exe、Systary.exe、sysnot.exe,並在注冊表

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加：

　　“windows update” = “%安裝目錄%\system\updater.exe” %安裝目錄% 是Windows 系統的安裝目錄，在不同系統下該目標表現可能不同，可能的有：c:\windows;c:\winnt 等。

　　(5)修改文本文件(*.txt)關聯和可執行文件關聯，直接指向病毒本身，如果用戶運行任意的txt文件和exe文件都會激活病毒。

　　(6)病毒會在計算機中搜索傳奇游戲的帳戶、密碼以及其他信息，發送到指定的E-Mail信箱。

　　清除病毒

　　1、刪除病毒在系統目錄下釋放的病毒文件

　　2、刪除病毒在注冊表下生成的鍵值

　　3、運行殺毒軟件，對病毒進行全面清除

　　[page_break]

　　四、“愛情森林”病毒

　　(一)病毒特征

　　該木馬程序原始文件名為hack.exe，用Delphi編寫，並用UPX進行了壓縮。木馬程序被運行後會：

　　1、復制自身到Windows操作系統的system目錄(通常為windowssystem)下，並改名為Explorer.exe。由於它和Windows目錄下的Explorer文件同名，因此會迷惑用戶，使用戶誤認為這是一個正常的系統文件。

　　2、修改注冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer.exe",使木馬程序可以在開機後自動運行。(其中%windowssystem%為Windows的系統目錄)

　　3、該木馬程序還會在站點http://orchid.diy.163.com/下載文件update.exe，並執行下載下來的程序，進行其它的破壞活動。

　　清除方法

　　(1)先打開任務管理器，結束掉位於下面的那個Explorer進程，然後刪除系統目錄下的木馬程序Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程序。

　　(2)打開注冊表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。

　　(二)變種一病毒特征

　　該病毒運行後會：

　　1、復制兩個自己的拷貝到Windows的系統目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下，並分別更名為rundll.exe和sysedit32.exe。

　　2、修改注冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe"，使木馬程序在開機後自動運行(其中%windowssystem%為Windows的系統目錄)。

　　3、修改注冊表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe，關聯記事本，使用戶打開txt文件時木馬程序能獲得運行機會。

　　4、該木馬會通過QQ程序向其它的QQ用戶發送“http://sckiss.yeah.net，你快去看看”的消息，誘導用戶浏覽含有惡意代碼的網頁。

　　5、該木馬還會嘗試盜取QQ用戶的密碼並將其發送至指定的郵箱。有趣的是，由於病毒作者使用了一個組件來發送郵件，因此當木馬程序執行發送郵件的操作時，該組件可能會彈出兩個對話框，其中一個的內容為“220 welcom to coremail system(With Anti-Spam) 2.1”，另外一個對話框為“Cannot open file .mima.txt”。

　　清除方法

　　(1)打開任務管理器，結束掉RUNDLL和SYSEDIT32進程。

　　(2)刪除系統文件夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的文件(文件大小為1781752字節)。

　　(3)打開注冊表編輯器，刪除HKEY_LOCAL_MACHINESoftware