En el nombre del pueblo libro electrónico

Seis características principales del virus QQ y métodos de eliminación

Virus de cola QQ

Características principales

Este virus no aprovecha QQ propaga su propias vulnerabilidades. En realidad, incorpora un fragmento de código malicioso en la página de inicio de un sitio web y utiliza la vulnerabilidad del sistema iFrame de IE para ejecutar automáticamente un programa troyano malicioso, invadiendo así el sistema del usuario y luego usando QQ para enviar información de spam. Si el sistema del usuario no ha instalado el parche de vulnerabilidad[/url] o no ha actualizado IE a la versión más alta, al visitar estos sitios web, se ejecutará el código malicioso incrustado en las páginas web visitadas y luego se ejecutará un caballo de Troya. programa para ingresar a la máquina del usuario a través de la vulnerabilidad de IE. Luego, cuando el usuario utiliza QQ para enviar mensajes a amigos, el programa troyano insertará automáticamente un anuncio al final del mensaje enviado, normalmente una de las siguientes frases.

QQ recibió la siguiente información:

1. HoHo~~ [url=""][/url] Un amigo me acaba de enviar esto. Te arrepentirás si no le echas un vistazo, jeje. Dáselo a tus amigos también.

2. Jaja, de hecho creo que este sitio web es realmente bueno, échale un vistazo. //

3. ¿Quieres tocar algo de rock and roll y música de baile grosera? La primera parada. Para los DJ chinos, les diré el sitio web [url=""][/url]. No se lo digas a nadie ~ Jaja, es realmente el mejor sitio de DJ del país.

4. Ayúdenos a ver si este sitio web se puede abrir.

5. Echa un vistazo. Las fotos que tomé recientemente fueron escaneadas en línea. ¿Ver si he cambiado?

Método de eliminación

1. Ingrese a MSconfig durante la operación. Si hay dos opciones "Sendmess.exe" y "wwwo.exe" en el elemento de inicio, desactívelas. Hay un archivo llamado qq32.INI en C:\WINDOWS. En el archivo están las pocas palabras publicitarias adjuntas a QQ. Elimínelas. Vaya a DOS y elimine los dos archivos "Sendmess.exe" y "wwwo.exe".

2. Instalar parches de vulnerabilidad del sistema

Sabemos por la forma en que se propaga el virus que el virus troyano "QQ Tail" se propaga mediante el iFrame de IE. Incluso si el archivo de virus no se ejecuta, el virus aún puede hacerlo. ejecutar automáticamente a través de la laguna jurídica para lograr el propósito de la infección. Por lo tanto, debe ser lo suficientemente valiente como para descargar rápidamente el parche de vulnerabilidad iFrame para IE.

2. Virus QQ "Yuan"

Características del virus:

El virus está escrito en lenguaje VB, comprimido mediante ASPack y se propaga a través de mensajes QQ. Después de ejecutar, la página de inicio predeterminada de IE se cambiará a: [url="mand Modifique el siguiente valor clave: default="C;\cmd.exe %1 &*"

B. Ejecución de nuevo Asociación de archivos .sys, lo que hace que el archivo de virus b.sys se ejecute al navegar por un sitio web venenoso. La clave principal en el registro: HKEY_CLASS_ROOT\sysfile\shell\open\command. Modifique el siguiente valor de clave: Predeterminado = """%. 1"" %*"

C. La ejecución del nuevo archivo .tmp está asociada a la clave primaria del registro: HKEY_CLASS_ROOT\tmpfile\shell\open\command. Modifique el siguiente valor de clave: Default ="""%1"" %*"

6. Intenta robar la contraseña del juego legendario y envíala al buzón "scmsmj@tom.com" a nombre de "mj25257758@263 .sina.com" a través del motor de correo integrado.

7. En los sistemas Win2000, WinXP y Win2003, el archivo del sistema "Rundll32.exe" está en el directorio del sistema, por lo que el virus intentará sobrescribir el archivo, pero estos sistemas pueden protegerlo y recuperarlo automáticamente. archivos del sistema dañados, por lo que el virus no se puede cargar normalmente, pero aún se puede cargar mediante la asociación EXE.

Método de eliminación:

A. Cierre Windows Me, Windows XP, Windows 2003 " Función "Restaurar sistema";

B. Reiniciar en modo seguro;

C. Primero cambie el nombre de regedit.exe a regedit.com y luego use el Administrador de recursos para finalizar el proceso cmd .exe. luego ejecute regedit.com, cambie la asociación EXE a ""%1" %*" y luego elimine los siguientes archivos: C:\cmd.exe, %Windows%\Download Program Files\b.exe. Para sistemas Win9x, elimine %SystemRoot%\Rundll32.exe y luego vaya al directorio compartido para ver si hay dos archivos, "Virus Killer.exe" y "Jay Chou Concert.exe". El tamaño del archivo es 11184 bytes. si los hay, elimínelos.

D. Limpiar el registro:

Abra el registro, elimine las claves primarias HKEY_CLASSES_ROOT\sysfile\shell\open, HKEY_CLASSES_ROOT\tmpfile\shell\open y modifique HKEY_CLASSES_ROOT\exefile\shell \open\ El valor clave del comando es "%1" %*

Medidas de precaución:

No haga clic fácilmente en enlaces desconocidos en QQ y no instale complementos de origen desconocido (como por ejemplo el sitio web de virus "Animation Player Plug-in 2.0").

4. Virus "Wuhan Boy"

Características del virus:

Este virus es una serie de nuevas variantes de "Wuhan Boy". utilizará QQ La herramienta de chat se utiliza para propagarse y la información que contiene URL se envía periódicamente a los internautas de QQ para inducir a los usuarios a hacer clic. La página web explota la vulnerabilidad de datos de objetos de IE para descargar y ejecutar el virus. la etiqueta DATA de OBJECT en HTML. Para las URL marcadas con DATOS, IE procesará los datos según el encabezado HTTP devuelto por el servidor. Si el tipo de URL Content-Type devuelto en el encabezado HTTP es Aplicación/hta, entonces el archivo especificado por la URL se puede ejecutar independientemente de qué tan alto sea el nivel de seguridad establecido por IE.

La característica más obvia de esta variante es que después de ejecutar el virus, además de enviar regularmente la misma URL a los internautas de QQ, también aprovechará la oportunidad para robar la cuenta, la contraseña y otra información de el juego "Legend" y enviarlo por correo electrónico. Cuando se envía a los ladrones de contraseñas, se eliminará una variedad de software antivirus para protegerse de ser eliminados.

(1) Si hace clic en la página web del virus, se mostrarán imágenes de mujeres hermosas y aparecerá una ventana invisible titulada "ASP Space".

Esta página web aprovecha las vulnerabilidades de IE para descargar y ejecutar archivos leoexe.gif y leo.asp. leoexe.gif no es un archivo de imagen, sino un virus de tipo exe, y leo.asp es un liberador de virus;

(2) Una vez que el virus se ejecuta, finalizará la mayoría del software antivirus, firewalls y ciertas herramientas para eliminar virus;

(3) Enviar mensajes a los internautas de QQ a intervalos regulares

( 4) Después de ejecutar el virus, se copiará en el directorio del sistema. Los nombres de los archivos son updater.exe, Systary.exe, sysnot.exe y aparecerán en el registro.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft. \Windows\CurrentVersion\RunServices Agregar:

"windows update" = "%directorio de instalación%\system\updater.exe" %directorio de instalación% es el directorio de instalación del sistema Windows. El rendimiento objetivo puede ser. diferentes en diferentes sistemas. Es posible que existan: c:\windows; c:\winnt, etc.

(5) Modifique la asociación de archivos de texto (*.txt) y archivos ejecutables para que apunten directamente al virus. Si el usuario ejecuta cualquier archivo txt o exe, el virus se activará.

(6) El virus buscará en la computadora la cuenta, contraseña y otra información de Legend Games y la enviará al buzón de correo electrónico designado.

Eliminar el virus

1. Eliminar los archivos de virus liberados por el virus en el directorio del sistema

2. Eliminar los valores clave generados por el virus en el registro

3. Ejecute el software antivirus para eliminar completamente el virus

5. Virus "Love Forest"

Características del virus

El archivo original del programa troyano se llama hack.exe, está escrito en Delphi y comprimido con UPX. Después de ejecutar el programa troyano, éste:

1. Se copiará en el directorio del sistema operativo Windows (normalmente windowssystem) y cambiará su nombre a Explorer.exe. Dado que tiene el mismo nombre que el archivo del Explorador en el directorio de Windows, confundirá a los usuarios y les hará pensar erróneamente que es un archivo de sistema normal.

2. Modifique el registro y agregue el valor clave Explorer="%windowssystem%Explorer.exe" en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun para que el programa troyano pueda ejecutarse automáticamente después del inicio. (%windowssystem% es el directorio del sistema de Windows)

3. El programa troyano también descargará el archivo update.exe del sitio [url="/"]/[/url] y ejecutará el archivo descargado. programar y realizar otras actividades de sabotaje.

Método de limpieza

(1) Primero abra el administrador de tareas, finalice el proceso del Explorador ubicado a continuación y luego elimine el programa troyano Explorer.exe en el directorio del sistema. O reinicie en DOS y vaya al directorio del sistema para eliminar el programa troyano directamente.

(2) Abra el editor de registro y elimine el valor clave denominado Explorer en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun.

(2) Características del virus variante 1

Después de ejecutarse, el virus:

1. Copiará dos copias de sí mismo al directorio del sistema de Windows (Win9x generalmente Para el sistema Windows, WinNt suele ser WinNtsystem32) y pasan a llamarse rundll.exe y sysedit32.exe respectivamente.

2. Modifique el registro y agregue el valor clave intarnet="%windowssystem%rundll.exe" en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun para que el programa troyano se ejecute automáticamente después del inicio (donde %windowssystem% es el directorio del sistema de Windows).

3. Modifique el registro, modifique el valor de clave predeterminado de HKEY_CLASSES_ROOTtxtfileshellopencommand a %windowssystem%sysedit32.exe y asócielo con el Bloc de notas para que el programa troyano pueda ejecutarse cuando el usuario abra el txt. archivo.

4. El troyano enviará "[url=" al sistema coremail (con antispam) 2.1" a otros usuarios de QQ a través del programa QQ, y otro cuadro de diálogo será "No se puede abrir el archivo .mima". txt".

Método de limpieza

(1) Abra el administrador de tareas y finalice los procesos RUNDLL y SYSEDIT32.

(2) Elimine la carpeta del sistema (. Win9x Generalmente los archivos llamados RUNDLL.exe y sysedit32.exe en el sistema Windows (generalmente WinNtsystem32) (el tamaño del archivo es 1781752 bytes)

(3) Abra el editor de registro y elimine los nombres en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. valor clave de intarnet=%windowssystem%rundll.exe\". Restaure el valor de clave predeterminado de HKEY_CLASSES_ROOTtxtfileshellopencommand en el Bloc de notas %1. (%windowssystem% es la carpeta del sistema de Windows)

(4) Si el archivo setup.txt o mima.txt existe en el directorio raíz, elimínelo.

(3) Características del virus variante 2

El programa troyano está empaquetado en un correo electrónico llamado s.eml y explota la vulnerabilidad Iframe. Cuando un usuario sin parche navega por una página web que contiene el correo electrónico, el programa troyano (Hack.exe) en el correo electrónico se ejecutará automáticamente.

Después de ejecutar el programa troyano, éste:

1. Se copiará en el directorio del sistema de Windows (normalmente windowssystem) y cambiará su nombre a Explorer.exe. Dado que tiene el mismo nombre que el archivo del Explorador en el directorio de Windows, los usuarios pueden pensar erróneamente que se trata de un archivo de sistema normal.

2. Modifique el registro y agregue el valor clave Intarnet="%windowssystem%Explorer.exe" en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun para que el programa troyano pueda ejecutarse automáticamente después del inicio. (%windowssystem% es el directorio del sistema de Windows)

3. El programa troyano enviará el siguiente mensaje a los internautas de los usuarios de QQ a través de la ventana "Enviar mensaje" de QQ "[url="Ve y echa un vistazo. , es muy "atractivo", cuando el usuario hace clic en el sitio web para navegar, el programa troyano se activará nuevamente, de modo que el troyano continúe propagándose a través de la herramienta de chat QQ."] Ve y echa un vistazo, " "muy bonito", cuando el usuario hace clic en el sitio web para navegar, el programa troyano se activará nuevamente, permitiendo que el troyano se propague continuamente a través de la herramienta de chat QQ [/url]

Método de eliminación:

(1) Abra la administración de tareas. Explorer, finalice el proceso del Explorador que se encuentra a continuación y luego elimine el programa troyano Explorer.exe en el directorio del sistema.

O reinicie en DOS y vaya al directorio del sistema para eliminar el programa troyano directamente.

(2) Abra el editor de registro y elimine el valor clave denominado Explorer en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun.

(4) Características de la variante tres del virus

Después de ejecutarse, el virus:

1. Copiará dos copias de sí mismo al directorio del sistema de Windows (Win9x generalmente Para el sistema Windows, WinNt suele ser WinNtsystem32) y pasan a llamarse rundll.exe y sysedit32.exe respectivamente.

2. Modifique el registro y agregue el valor clave intarnet="%windowssystem%rundll.exe" en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun para que el programa troyano se ejecute automáticamente después del inicio (donde %windowssystem% es el directorio del sistema de Windows).

3. Modifique el registro, modifique el valor de clave predeterminado de HKEY_CLASSES_ROOTtxtfileshellopencommand a %windowssystem%sysedit32.exe y asócielo con el Bloc de notas para que el programa troyano pueda ejecutarse cuando el usuario abra el txt. archivo.

4. Modifique el registro, modifique la página predeterminada, la página de inicio y la página de inicio del navegador IE.

5. El troyano enviará "[url="el valor clave predeterminado del comando es Notepad %1" a otros usuarios de QQ a través del programa QQ. (%windowssystem% es la carpeta del sistema de Windows)

(4) Restaurar la configuración de IE. Abra el Editor del Registro y restaure HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page, HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL, HKEY_LOCAL_MACHINE\\Software\\ Microsoft \\Internet Explorer\\Main\\La página local está configurada con su contenido original.

(5) Características del virus variante 4

El programa troyano está escrito en Delphi y comprimido con UPX, pero el programa requiere que la biblioteca dinámica de Delphi esté instalada en la máquina del usuario para ejecutarse. . Este programa tiene las mismas características que la primera versión de "Love Forest", por lo que lo más probable es que lo genere el autor del virus después de recompilar la primera versión de "Love Forest". Después de ejecutarse, el programa troyano:

1. Se copiará en el directorio del sistema operativo Windows (normalmente windowssystem) y le cambiará el nombre a Explorer.exe. Dado que tiene el mismo nombre que el archivo del Explorador en el directorio de Windows, confundirá a los usuarios y les hará pensar erróneamente que es un archivo de sistema normal.

2. Modifique el registro y agregue el valor clave Explorer="%windowssystem%Explorer.exe" en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun para que el programa troyano pueda ejecutarse automáticamente después del inicio. (%windowssystem% es el directorio del sistema de Windows)

3. El programa troyano también descargará el archivo update.exe del sitio [url="/"]/[/url] y ejecutará el archivo descargado. programar y realizar otras actividades de sabotaje.

Método de limpieza

(1) Primero abra el administrador de tareas, finalice el proceso del Explorador ubicado a continuación y luego elimine el programa troyano Explorer.exe en el directorio del sistema. O reinicie en DOS y vaya al directorio del sistema para eliminar el programa troyano directamente.

(2) Abra el editor de registro y elimine el valor clave llamado Explorer en HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

6. " virus

Características del virus:

Utiliza QQ para enviar mensajes seductores, haciendo que los usuarios se dejen engañar. El virus envía nuevos textos y enlaces tentadores a amigos en línea, lo que hace que los usuarios que no saben la verdad se dejen engañar.

1. Cópiese en el directorio del sistema:

%SYSDIR%\internet.exe

%SYSDIR%\svch0st.exe

2. Modifique la siguiente clave de registro para evitar que se inicie el virus:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Network Associates, Inc." .EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"

3. Después de ejecutar el virus, se establecerá un servidor HTTP para escuchar el puerto TCP 20808

Esta función responderá a las solicitudes de descarga remota y copiará el archivo de virus local a la máquina remota.

4. El virus busca en el software de chat QQ y envía mensajes seductores a amigos en línea. El contenido es el siguiente:

"Eres tan hermosa, tan hermosa como un poema lírico. Tu. todo el cuerpo Lleno de inocencia juvenil y encanto juvenil

Lo que más me impresionó fue tu par de ojos claros como un lago y tus pestañas largas y centelleantes

Como indagación, como preocupación, como. saludo

Esto es lo que necesitas:

Descargar dirección 1

"

"c:\123456.exe"

"c:\pass.exe"

"c:\game.exe"

"c :\my_photo.exe"

" c:\update.exe"

"c:\MP3.exe"

"c:\666666.exe "

Estos son los virus en sí.

5. En vista de la particularidad del virus, especialmente de las usuarias de QQ, no se deje engañar cuando vea la información anterior.

Método de limpieza

(1) Abra el administrador de tareas para ver si hay un proceso llamado: INTERNET.EXE o SVCH0ST.EXE, finalícelo

( 2) Abra el Editor del Registro y elimine el siguiente valor clave :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Network Associates, Inc." = " INTERNET.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"

( 3) Elimine los archivos en el directorio %WINSYS%: SVCH0ST.EXE y SVCH0ST.EXE

Nota: %WINSYS% es el directorio de instalación del sistema Windows en win9x, winme y winxp. el valor predeterminado es: C: \WINDOWS\SYSTEM, el valor predeterminado en win2k es: C:\WINNT\SYSTEM32.

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

1470 respuestas