[学习]最近QQ出现问题的朋友请关注(转载)

显示全部楼层 · 2021-1-10 09:47:02

恶意木马：“狩猎者”变种（Troj.QQmsgqq886、Troj.QQmsgqq3344.b）★★★，传播：利用IE漏洞传播
　　
　　“狩猎者”木马最近一段时间越演越烈，大量的商业网站利用它来为自己作广告，令QQ用户非常烦恼。该系列木马最大的特征就是在QQ发送的信息后添加一段带网址的信息，如“这个站真棒去看看啊http://www.qq886.com 。快来看我的照片啊qq3344.com ”等。这些信息通常会从比较熟悉的网友那边发来，因此很多人会大大降低警惕性，从而去打开这些网址。这些网址上的网页里都包含着“狩猎者”木马病毒，如果未即时打上IE补丁的系统就会自动下载该木马，并立即安装，入侵系统。以下是“狩猎者”两个变种的技术特点：
　　
　　Troj.QQmsgqq886：
　　
　　1、在WINDOWS安装目录和系统目录里生成以下文件
　　
　　　　 %windir%\qq32.ini
　　
　　　　 %windir%\sendmess.exe
　　
　　　　 %system%\qqmess.dll
　　
　　2、修注册表启动项
　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　
　　　　 “QQ“ = %windir%\sendmess.exe
　　
　　3、修改IE主页为“http://www.qq886.comcom“
　　
　　Troj.QQmsgqq3344.b：
　　
　　1、在WINDOWS安装目录和系统目录里生成以下病毒复本
　　
　　　　 %windir%\msfiles.exe
　　
　　　　 %system%\scridows.exe
　　
　　　　 %system%\intnets.exe
　　
　　　　 %system%\sysinfer.exe
　　
　　2、对WIN9X系统会修改WIN.INI文件的RUN项
　　
　　　　 run = %windir%\msfiles.exe
　　
　　3、修注册表启动项
　　
　　　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　
　　　　 “intnets“ = %system%\intnets.exe
　　
　　　　 “sysinfer“ = %system%\sysinfer.exe
　　
　　4、修改IE主页为“http://www.qq3344.com“
　　
　　手工清除方法：
　　
　　1、对于WIN9X系统，可以启动到纯DOS模式下，删除病毒所生成的所有复本文件。然后再启动系统删除WIN.INI文件中的RUN项，删除病毒在注册表中添加的启动项，使用“控制面版”中的“Internet选项”来修改IE的主页；
　　
　　2、对于WIN2000/WINXP系统，使用进程管理器搜索名字为“msfiles.exe、scridows.exe、intnets.exe、sysinfer.exe、sendmess.exe”的进程，并立即结束它们，然后在WINDOWS安装目录和系统目录中彻底删除这些文件。删除病毒在注册表中添加的启动项，使用“控制面版”中的“Internet选项”来修改IE的主页；　　3、建议安装IE6.0，并打上IE的SP1补丁包。

千问 · 2021-1-10 09:47:02

恶意木马：“密码贼”(Troj.PSWHukle) ★★，传播：被引诱安装
　　
　　该木马病毒会窃取任意程序的帐户/密码信息，并且会自动发送给木马的制作者。该木马已经出现大量变种，严重危害网络用户的隐私。其主特点如下：
　　
　　1、该木马病毒会中清除许多知名的网络防火墙、反病毒软件；
　　
　　2、以随机文件名的方式在系统目录中生成以下文件：
　　
　　　　 %system%\.exe
　　
　　　　 %system%\.dll
　　
　　　　最有可能的文件名会包含以下字符：
　　
　　　　 hiddukel
　　
　　　　 jdxh
　　
　　3、修改EXE文件关联
　　
　　　　 HKEY_CLASSES_ROOT\exefile\shell\open\command
　　
　　　　 “(Default)“=“%system%\.exe“ “%1“ %*“
　　
　　4、添加注册表启动项
　　
　　　　 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　
　　　　 “Windows Media SP.57“=“%System%\.exe“
　　
　　5、随机将获得的密码信息发回制作者
　　
　　手工清除方法：
　　
　　打开注册表编辑器，查看HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　项，找到键值“Windows Media SP.57“所指向的文件名XXX.exe（XXX.exe即为病毒的文件名）。然后，打进程管理器，结束名为“XXX.exe”的进程，进入系统目录删除该文件。删除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　项里的键值“Windows Media SP.57“。恢复EXE文件关联：将HKEY_CLASSES_ROOT\exefile\shell\open\command
　　项下的“默认“=“%system%\.exe“ “%1“ %*“修改为“默认“= “%1“ %*“。
　　
　　使用此方法，可能会造成谋些应用程序不可使用，需要一定的专业知识，建议普通用户使用最新病毒库的金山毒霸进行查杀。
　　
　　专家提醒：
　　
　　1、请及时升级您的毒霸到最新。因为病毒随时在产生，金山毒霸的病毒库也会随时升级中，请多关注金山毒霸安全咨询网（ duba.net ）上的最新病毒公告，或者订阅金山毒霸的“病毒短信”，为您提供最新最快的病毒信息和毒霸的升级信息；
　　
　　2、打开网络和病毒防火墙，为您的系统打上微软的最新补丁。杀病毒不如防病毒，只要防止住病毒进入的通道，就可彻底免除病毒带来的危害；
　　
　　3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播，病毒制作者会利用人们好奇的心理来骗取自己激活的机会，如前段时间的“911”蠕虫病毒，就是利用人们对“911”事件的关注心态，来骗取用户打开邮件，从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权；
　　
　　4、掌握一些相关的系统操作知识，这样可以方便、及时的发现新病毒。

千问 · 2021-1-10 09:47:02

看了

千问 · 2021-1-10 09:47:02

我碰见好几次了

千问 · 2021-1-10 09:47:02

记一下：）

千问 · 2021-1-10 09:47:02

比较使用哦，谢啦