詳細解答六大QQ病毒特征及清除方法

一、“QQ尾巴”病毒

病毒主要特征

這種病毒並不是利用QQ本身的漏洞進行傳播。它其實是在某個網站首頁上嵌入了一段惡意代碼，利用IE的iFrame系統漏洞自動運行惡意木馬程序，從而達到侵入用戶系統，進而借助QQ進行垃圾信息發送的目的。用戶系統如果沒安裝漏洞補丁或沒把IE升級到最高版本，那麼訪問這些網站的時候其訪問的網頁中嵌入的惡意代碼即被運行，就會緊接著通過IE的漏洞運行一個木馬程序進駐用戶機器。然後在用戶使用QQ向好友發送信息的時候，該木馬程序會自動在發送的消息末尾插入一段廣告詞，通常都是以下幾句中的一種。

QQ收到信息如下：

1.HoHo~~http://www.mm**.com剛才朋友給我發來的這個東東。你不看看就後悔哦，嘿嘿。也給你的朋友吧。

2.呵呵，其實我覺得這個網站真的不錯，你看看http://www.ktv***.com/

3.想不想來點搖滾粗口舞曲，中華DJ第一站，網址告訴你http://www.qq33**.com.。不要告訴別人~哈哈，真正算得上是國內最棒的DJ站點。

4.http//www.hao***.com幫忙看看這個網站打不打的開。

5.http://ni***.126.com看看啊.我最近照的照片~才掃描到網上的。看看我是不是變了樣?

清除方法

1．在運行中輸入MSconfig，如果啟動項中有“Sendmess.exe”和“wwwo.exe”這兩個選項，將其禁止。在C：\WINDOWS一個叫qq32.INI的文件，文件裡面是附在QQ後的那幾句廣告詞，將其刪除。轉到DOS下再將“Sendmess.exe”和“wwwo.exe”這兩個文件刪除。

2．安裝系統漏洞補丁

由病毒的播方式我們知道，“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的，即使不執行病毒文件，病毒依然可以借由漏洞自動執行，達到感染的目的。因此應該敢快下載IE的iFrame漏洞補丁。

二、QQ“緣”病毒

病毒特征：

該病毒用VB語言編寫，采用ASPack壓縮，利用QQ消息傳播。運行後會將IE默認首頁改變為：HTTP://WWW.**115.COM/，如果你發現自己的IE首頁被修改成以上網址，就是被該病毒感染了。

病毒會利用QQ發送例如“今天在網上下了本電子書，書名叫《緣》，寫得不錯，而且書的作者的名字很巧…………點擊下面這個地址可以下載這本書”；“1937年12月13日，300000南京人民被侵華日軍集體大屠殺！！！所有的中國人都不應忘記這個日子，從始至終日本人都沒有改變它們的野心!中華兒女要團結自強牢記歷史，我們要時刻警惕日本人的野心，釣魚島是中國的領土!!!台灣是中國不可分割的一部份!!!請你將此消息發給你QQ上的好友!”等消息，消息裡的鏈接是病毒網址。

清除方法：

使用了下面的辦法將其徹底刪除。

找到下列文件:

C:\windows\system\noteped.exe

C:\windows\system\Taskmgr.exe

C:\Windows\noteped.exe

C:\Windwos\system32\noteped.exe

刪除掉:其中Taskmgr.exe要先打開"window任務管理器",選中進程"Taskmgr.exe",殺掉

注意:有兩個名字叫"Taskmgr.exe"進程,一個是QQ病毒,一個是你剛才打開的"Window認為管理器"

然後到注冊表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"

找到"Taskmgr"刪除

如果你還不明白那請你先找到那幾個文件，然後再按下面步驟操作:

1.在任務欄上點擊鼠標右鍵，選擇任務管理器

2.選擇進程裡的Taskmgr.exe，但我後來又測試也進行名稱不一定是大寫的，也有可能是小寫，一般排在上面的一個是。

3.點擊開始-運行，輸入Regedit進入注冊表

4.在注冊表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run，將Taskmgr"項刪除"。

刪除後重啟計算機，《緣》QQ病毒宣布徹底刪除。

另外提醒大家，盡快更新你的IE到IE6SP1這樣可以減少很多的IE被改機會。

近來網上出現一種叫做“QQ尾巴”的木馬病毒。該病毒會偷偷藏在你的系統中，當你在使用ＱＱ的時候，它會自動尋找QQ窗口，給在線上的QQ好友發送諸如“剛剛朋友給我發來的這個東東。你不看看要後悔哦--”之類的假消息，如果有人信以為真點擊該鏈接的話，將會感染上病毒，並且成為病毒的傳播源。

三、“QQ狩獵者”病毒

病毒特征：

1、在進行QQ聊天時會在消息中加入信息"向你介紹一個好看的動畫網：http://Flash2.533.net"

2、當浏覽帶毒網站時，會利用IE漏洞，嘗試新增sys文件和tmp文件的執行關聯，並下載執行病毒文件b.sys，如果IE已經打上補丁，則會彈出一個插件對話框，引誘用戶安裝，安裝後會將自己安裝到%Windows%DownloadedProgramFiles文件夾中，文件名為"b.exe"，如果用戶拒絕安裝該插件，會不斷彈出對話框要求用戶安裝。

3、復制文件:

A、復制病毒體到%SystemRoot%文件夾中，文件名為"Rundll32.exe"；

B、復制病毒體為"C:\cmd.exe";

C、試圖復制病毒體到共享目錄中，名為"病毒專殺.exe"和"周傑倫演唱會.exe"。

4、添加注冊表啟動項，以隨機啟動在注冊表的主鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加以下鍵值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"

5、修改和新增以下文件關聯

A、修改.exe文件的關聯，每當執行exe文件時，即首先執行病毒預先復制的病毒文件。在注冊表的主鍵:HKEY_CLASS_ROOT\exefile\shell\open\command修改如下鍵值：默認="C;\cmd.exe%1&*"

B、新增.sys文件的執行關聯，使得在浏覽帶毒網站時執行病毒文件b.sys在注冊表的主鍵:HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下鍵值：默認="""%1""%*"

C、新增.tmp文件的執行關聯在注冊表的主鍵:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下鍵值：默認="""%1""%*"

6、試圖偷傳奇游戲的密碼,並通過自帶的郵件引擎以"[email protected]"的名義發送到"[email protected]"信箱中。

7、在Win2000、WinXP、Win2003系統中，系統文件"Rundll32.exe"就在系統目錄中，因而病毒會嘗試將該文件覆蓋，但這幾個系統都能自動保護並恢復受到破壞的系統文件，因而病毒不能正常加載，但仍可以通過EXE關聯被加載.

清除方法:

A、關閉WindowsMe、WindowsXP、Windows2003的“系統還原”功能；

B、重新啟動到安全模式下；

C、先將regedit.exe改名為regedit.com，再用資源管理器結束cmd.exe進程，然後運行regedit.com，將EXE關聯修改為""%1"%*"，再刪除以下文件:C:\cmd.exe、%Windows%\DownloadProgramFiles\b.exe。對於Win9x系統，還要刪除%SystemRoot%\Rundll32.exe，再到共享目錄中看有沒有"病毒專殺.exe"和"周傑倫演唱會.exe"這兩個文件，文件大小為11184字節，如果有，將其刪除。

D、清理注冊表:

打開注冊表，刪除主鍵HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open修改HKEY_CLASSES_ROOT\exefile\shell\open\command的鍵值為"%1"%*

防范措施：

不要輕易點擊QQ上的不明鏈接,不要安裝來歷不明的插件(如該病毒網站上所謂的"動畫播放插件2.0")。

四、“武漢男生”病毒

病毒特性：

此病毒是“武漢男生”的一系列新變種，病毒發作後會利用QQ聊天工具進行傳播，定時給QQ網友發送包含網址的信息來誘使用戶點擊，該網頁利用了IE的ObjectData漏洞下載並運行病毒本身，該漏洞是由HTML中OBJECT的DATA標簽引起的。對於DATA所標記的URL，IE會根據服務器返回的HTTP頭來處理數據。如果HTTP頭中返回的URL類型Content-Type是Application/hta，那麼該URL指定的文件就能夠執行，無論IE設置的安全級別有多高。

該變種較明顯的特點是，病毒運行後，除定時發給QQ網友同樣的網址外還會趁機盜取“傳奇”游戲的帳戶、密碼以及其他信息，並以郵件形式發給盜密碼者，還會結束多種反病毒軟件，以保護自