1、病毒名稱:Trojan/QQMsg.Zigui
中 文 名:“QQ龜”
病毒類型:木馬
影響平臺:Win 9x/2000/XP/NT/Me/2003
“QQ龜”是壹個木馬程序,通過向QQ好友群發病毒程序文件進行傳播。文件名極具欺騙性,甚至調侃腦白金廣告 “今年過年不收禮,收禮只收白骨精(搞笑版廣告)”,繼而盜取用戶機密信息,並將盜取的信息發送給黑客。 2、病毒名稱:I-Worm/QQ.Porn
中 文 名:QQ愛蟲
傳播方式:網絡
病毒類型:蠕蟲
影響平臺:Win 9x/2000/XP/NT/Me/2003
QQ愛蟲是通過在線QQ發送病毒文件的網絡蠕蟲,該病毒會通過QQ發送名為“蔡依林短裙顯誘惑[轉帖][貼圖]”等帶毒文件,病毒文件名還會包含眾多帶有色情和挑逗性的文字。病毒運行後會從黑客網站下載另壹病毒“結巴” (Backdoor/Jieba.2004),後者可以捕獲Win9x/Win2k/WinXp下的幾乎所有普通窗口的登錄密碼。 小心誤入愛情森林,惡意網頁是幫兇。2002年8月23日下午,瑞星全球病毒監控中心首次截獲了壹個傳染能力極強的惡性QQ病毒――“愛情森林”(Trojan.sckiss)。據瑞星公司的反病毒工程師介紹,此病毒會利用QQ軟件,誘惑用戶打開壹惡意網頁,而該網頁會自動下載病毒並修改註冊表產生破壞。
病毒類型:木馬病毒
發作時間:隨機
傳播方式:郵件/網絡/QQ誘騙
感染對象:網絡
警惕程度:★★★★
病毒介紹:
此病毒是已知的第壹個利用QQ進行傳播並破壞的惡性木馬病毒。它利用本機QQ,在用戶不知道的情況下向用戶的好友發送壹句消息:“(網址不便展現)這個妳去看看!很好看的”壹旦登陸此網站,便會中毒。因為此網站的主頁是壹個惡意網頁,它會自動下載“愛情森林”病毒並執行,從而對用戶計算機造成破壞。
此病毒具有以下四大特色:
壹、 利用郵件包裝,形成自啟動郵件。
病毒的原始文件是壹個名為HACK.EXE的木馬病毒,病毒作者為了能使病毒“初戰告捷”,迅速占領用戶計算機,利用了OUTLOOK的郵件漏洞,將原始病毒包裝成壹個可以預覽執行的病毒郵件:s.eml,然後放入壹個惡意網頁中,等待下載。
二、 利用QQ工具,發送偽裝信息。
如果用戶不小心點擊或預覽了病毒郵件,病毒便可執行。病毒執行時會搜索用戶的QQ程序,如果用戶在線的話,病毒會偽裝成用戶,給用戶的所有在線的好友發送壹條用戶無法查覺的隱藏信息,此信息的內容為:“(網址不便展現)這個妳去看看!很好看的”如果用戶的好友在收到了此信息後,因為好奇而點擊了此鏈接,則會進入壹個惡意網頁。
三、 利用惡意網頁幫兇,導致病毒泛濫。
該惡意網頁用JS語言編寫,利用了JAVA EXPLOIT漏洞,所以不經用戶的允許,便可以悄悄運行自動下載“愛情森林”病毒郵件(s.eml)並執行。然後此惡意網頁會修改用戶註冊表進行破壞,將用戶的IE標題改為:“(網址不便展現)/愛情森林”,使用戶的“運行”菜單項無法使用,並且將用戶的IE默認首頁改為:“(網址不便展現)”,此惡意網頁還將此網址加入註冊表中的RUN自啟動項。這樣以來,無論用戶啟動計算機還是啟動IE瀏覽器,都可以自動鏈接到惡意網頁,感染病毒。
四、 侵占系統目錄,繼續“生生不息”。
“愛情森林”病毒通過QQ發送信息之後,便開始進行本機的感染。病毒首先改名為:“EXPLORER.EXE”,然後將之拷貝到WINDOWS的系統目錄(SYSTEM或SYSTEM32)下,這樣用戶即使發現也不會起疑心,然後病毒修改註冊表,在RUN的自啟動項中建立壹個EXPLORER的鍵值,將病毒路徑加入其中,壹旦計算機重啟,病毒便可自動運行,再次進行以上感染。
愛情森林II病毒
浪漫的“愛情森林”又升級了,所有的計算機用戶都應該註意,不要被浪漫的病毒騙了。
病毒類型:木馬病毒
發作時間:隨機
傳播方式:郵件/網絡
感染對象:網絡
警惕程度:★★★★
病毒介紹:
1.此病毒是愛情森林的變種,當第壹代的病毒網址被封掉以後,病毒又想出了新招。
2.該病毒將自己復制多份到windows的系統目錄,並修改多項註冊表。
3.當用戶點擊任何壹個.exe文件時,病毒會根據特定文件名動態生成壹個對話框:“某某文件發現引導區病毒,請到dos下面用A盤!”壹旦當用戶點確定時,文件即被刪除。
4.此病毒還會修改本地的hosts文件不讓用戶登入壹些反毒網站,使用戶無法上網升級病毒庫最新版本。
愛情森林C版病毒
“愛情森林”病毒又出C版,請用戶及時準備,以防不測。
病毒類型:木馬病毒
發作時間:隨機
傳播方式:網絡
感染對象:網絡
警惕程度:★★★★
病毒介紹:
愛情森林病毒的又壹個新變種!此病毒運行時建立5個病毒復本:WIN386.SWP、WINUPDATE.EXE、INTERNETS.EXE、WINVER.EXE、HOSTS,並將系統的交換文件替換掉,而且還偽裝成系統的更新文件躲在啟動目錄中。另外,病毒會將可執行的關聯改成病毒體,這樣用戶運行其他程序時會直接運行病毒體,而且有些程序運行時還會被此病毒刪除。
此病毒有如下特征:
1. 建立5個病毒副本,系統啟動後病毒會自動運行: C:\WINDOWS\WIN386.SWP C:\WINDOWS\START MENU\PROGRAMS\WINUPDATE.EXE C:\WINDOWS\SYSTEM32\INTERNETS.EXE C:\WINDOWS\WINUPDATE.EXE C:\WINDOWS\WINVER.EXE C:\WINDOWS\HOSTS 2. 將註冊表中的HKCR\exefile\shell\open\command項的內容改為:C:\WINDOWS\winupdate.exe %1 %*,這樣用戶雙擊任何程序都會不啟動程序而直接啟動病毒。
3. 有時壹些啟動的應用程序還會被此病毒莫名其妙地刪除。 於2002年10月18日出現的新型惡性QQ病毒“QQ偽裝專家”(Trojan.QQcamoufleur)雖然已經被瑞星公司捕獲,但鑒於這個病毒有出現新版本的可能,所以廣大用戶還是應該做好防毒準備。
病毒類型:木馬病毒
發作時間:隨機
傳播方式:網絡
感染對象:網絡
警惕程度:★★★★
病毒介紹:
此病毒用高級語言編寫並用aspack工具壓縮。病毒會偽裝成真正的QQ程序啟動,並在桌面上建立壹個名為:“QQ2000b”的快捷方式,而真正QQ的快捷方式是:“騰訊QQ”。病毒運行時會將用戶的QQ號碼與密碼偷偷發送到指定郵箱。病毒有極強的網絡傳染能力,如果發現局域網中有***享目錄,便將自身拷貝到***享目錄下,誘使用戶運行。病毒會通過郵件系統傳播。建立標題為:“這是我的照片”,附件為:“photo.gif.exe”的病毒郵件。另外,病毒還會攻擊打印機。壹旦檢測到打印機的存在,病毒便會不斷地通過打印機大量打印病毒代碼,損耗打印機,浪費紙張。
病毒壹般會有如下特征:
1. 使打印機無故打印亂碼。
2. 在桌面上建立壹個名為:“QQ2000b”的快捷方式。
3. 啟動後會將自己拷貝到系統目錄下,並改名為 windll.exe,photo.gif.exe 和 notepads.exe。
4. 病毒會在註冊表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中添加壹個鍵值為:WinIme,內容為:C:\WINNT\SYSTEM32\windll.exe的自啟項。
5. 病毒會修改註冊表,將命令接口(HKEY_CLASSES_ROOT\Txtfile\shell\open\command)改為病毒體,這樣即使是自啟動項被用戶刪除了,病毒也會照常運行。
6. 病毒會利用郵件進行傳播,產生標題為:“這是我的照片”,附件為:“photo.gif.exe”的病毒郵件。 Worm.Gop.3(QQ竊手)是近日出現的壹種新型的蠕蟲病毒,它以攻破聊天工具OICQ密碼為目標,同時也會惡意泄漏用戶的重要信息。此病毒蔓延速度極快,據瑞星全球病毒監測網報告,這是壹種傳播力極強的病毒,國內也已經發現病毒信息,所以廣大用戶應緊急采取預防措施,避免遭受損失。
病毒名稱:Worm.Gop.3
別名:QQ竊手
病毒類型:蠕蟲
發作時間:隨機
傳播方式:網絡/文件
感染對象:網絡/文件
警惕程度:★★★
病毒介紹:
Worm.Gop.3(QQ竊手)病毒主要通過郵件形式傳播,最具危害的是:它具有與尼姆達病毒類似的“預覽信件即受感染”的能力,這樣用戶不用打開病毒郵件就已經遭受感染。它具有傳染極快、結構復雜等特點,它所造成的危害主要就是泄漏用戶ICQ(OICQ)密碼,同時將用戶在感染前處理的最後壹個文件(近期文件,對用戶來講往往很重要)通過附件形式,通過郵件形式寄出,這樣用戶的很多隱私就有可能在不知不覺中泄露出去。
發作現象:
Worm.Gop.3(QQ竊手)自身捆綁了壹個DLL文件,和壹個隨機的文檔,當病毒運行後會在系統目錄下釋放出壹個kernelsys32.exe,然後kernelsys32.exe將自動啟動。(此病毒還會在臨時目錄下將自身帶的WORD文件釋放出來,並將此文件打開,借此來掩飾自己的行為。)
Kernelsys32.exe會釋放出壹個IMKERNEL32.SYS的文件,並將IMKERNEL32.SYS註入其他的進程空間內,該文件註入進程空間內後就開始竊取本地的QICP的帳號和密碼。然後當QICQ啟動時,它會判斷當前的窗口標題如果是“QQ用戶登錄”或是“OICQ用戶登錄”就將竊取用戶輸入的密碼,並將密碼和帳號保存在系統目錄下的drocerr.sys文件中,同時備份到系統目錄下的drocerrbk.sys文件中。
病毒還會自動查找最近打開過的文件,如果文件是以下類型(bmp、rtf、doc、txt、gif、jpeg、jpg)並且小於80k,病毒就將此文件捆綁在自己後面,形成壹個exe文件作為附件發送給別人。這樣收信人會以為收到了壹個無害的文件,壹但在Outlook Express或者windows中預覽了這個郵件,會立刻感染這個蠕蟲。信件的主題為以下之壹: 想念妳的模樣 想我的小寶貝了 快樂 給我永恒的愛人 我愛妳 想念 我在等著妳 吻妳 妳是我的女主角 愛,有時候真的不能去比較的 哎 Fw:姐姐的照片 記得收好我的照片呀! xue 您的朋友 張 給您寄來賀卡信件的內容為各種情書。這對於佳節將至的廣大用戶來說,是很容易被蒙蔽的。
清除Worm.Gop.3(QQ竊手)病毒的方式是用殺毒軟件將其全面殺除。
預防Worm.Gop.3(QQ竊手)的辦法與多數蠕蟲病毒的方法類似:就是不要打開上文提到的主題郵件,其次是警惕陌生郵件,為了避免受到病毒侵襲用戶還應使用優秀的防火墻軟件――如瑞星防火墻進行防堵預防,並盡快對殺毒軟件進行升級。 病毒名稱:Hack.QQ2000.Trick
病毒別名:QQ騙子
發作時間:隨機
病毒類型:黑客程序
傳播方式:網絡
警惕程度:★★★★
病毒介紹:
此病毒模仿oicq軟件,將用戶填寫的登錄號碼和密碼發送到指定信箱,從而竊取用戶個人信息。由於此程序的外表做得和真正的oicq軟件的圖標完全壹致,所以對於用戶造成了很大的迷惑,極易讓人上當。
發作現象:
此病毒與真正的QQ有同樣的圖標,如果用戶雙擊此病毒文件,病毒即運行,跳出壹個信息框,讓用戶填寫郵件地址,而真正的oicq程序是沒有此信息框的,所以當出現此信息框的時候,則表明用戶正在使用QQ騙子,而不是真正的QQ。與此同時QQ騙子還會在桌面生成壹個快捷方式,此快捷方式也與真正的oicq軟件的快捷方式相同。用戶如果再雙擊QQ騙子生成的快捷方式的話,又會跳出壹個與oicq軟件相同的登陸界面,如果此時用戶將自己的登錄號碼和密碼填寫上去,並按確定鍵的話,又會跳出壹個信息框,顯示登錄失敗,而實際上,與此同時,剛才用戶所填寫的信息已被發送到病毒制造者所指定的信箱中,從而用戶的私人信息便被泄露出去了。 2003年10月以來網上出現壹種叫做“QQ尾巴(Trojan.QQ3344)”的木馬病毒。該病毒會偷偷藏在妳的系統中,當 妳在使用QQ的時候,它會自動尋找QQ窗口,給在線上的QQ好友發送諸如“剛剛朋友給我發來的這個東東。妳不看看要後悔哦--”之類的假消息,如果有人信以為真點擊該鏈接的話,將會感染上病毒,並且成為病毒的傳播源。
壹、該病毒的主要特征:
這種病毒並不是利用QQ本身的漏洞進行傳播。它其實是在某個網站首頁上嵌入了壹段惡意代碼,利用IE的iFrame系統漏洞自動運行惡意木馬程序,從而達到侵入用戶系統,進而借助QQ進行垃圾信息發送的目的。用戶系統如果沒安裝漏洞補丁或沒把IE升級到最高版本,那麽訪問這些網站的時候其訪問的網頁中嵌入的惡意代碼即被運行,就會緊接著通過IE的漏洞運行壹個木馬程序進駐用戶機器。然後在用戶使用QQ向好友發送信息的時候,該木馬程序會自動在發送的消息末尾插入壹段廣告詞,通常都是以下幾句中的壹種。
QQ收到信息如下: 1. HoHo~~ ***剛才朋友給我發來的這個東東。妳不看看就後悔哦,嘿嘿。也給妳的朋友吧。 2. 呵呵,其實我覺得這個網站真的不錯,妳看看**** 3. 想不想來點搖滾粗口舞曲,中華 DJ 第壹站,網址告訴妳***********不要告訴別人 ~ 哈哈,真正算得上是國內最棒的 DJ 站點。 4.*** 幫忙看看這個網站打不打的開。 5. *** 看看啊。我最近照的照片~ 才掃描到網上的。看看我是不是變了樣? 二、解決方法:
1.在運行中輸入MSconfig,如果啟動項中有“Sendmess.exe”和“wwwo.exe”這兩個選項,將其禁止。在C:\WINDOWS壹個叫qq32.INI的文件,文件裏面是附在QQ後的那幾句廣告詞,將其刪除。轉到DOS下再將“Sendmess.exe”和“wwwo.exe”這兩個文件刪除。
2.隨時升級殺毒軟件。
3.安裝系統漏洞補丁
由病毒的播方式我們知道,“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的,即使不執行病毒文件,病毒依然可以借由漏洞自動執行,達到感染的目的。因此應該敢快下載IE的iFrame漏洞補丁。 警惕程度:★★★★
發作時間:隨機
病毒類型:木馬病毒
傳播方式:QQ軟件
感染對象:QQ用戶
依賴系統: WIN9X//NT/2000/XP
病毒介紹:
該病毒運行後會偷偷藏在用戶的系統中,並修改註冊表進行自啟動。發作時會尋找QQ窗口,每隔1分鐘就給被感染用戶的所有線上的QQ好友發送諸如“快去這看看,裏面有蠻好好東西-- ”之類的假消息,誘惑用戶點擊壹個網站,如果有人信以為真點擊該鏈接的話,就會被病毒無情感染,然後成為毒源,繼續傳播。
病毒的發現與清除:
此病毒會有如下特征,如果用戶發現計算機中有這些特征,則很有可能中了此病毒:
1. 病毒運行時會將自身復制到系統目錄下,命名為:WebAuto.exe。
2. 病毒會修改註冊表,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run啟動項中添加鍵值WebAuto.exe,該鍵值的內容是病毒的文件路徑,在下壹次啟動計算機時,病毒就會自動運行。
3. 病毒會將用戶系統中的IE默認首頁改為:*********** ,使用戶壹上網就中招。
4. 病毒會尋找QQ的發送消息窗口,給用戶所有好友隨機發送以下消息: 1. 激情電影爽啊!給妳也推薦壹下,完全免費--; 2. 快去這看看,裏面有蠻好好東西--; 3. 上次看了個網站不錯,去看看吧--; 在這些消息之後還伴隨著壹個惡意網址誘騙用戶點擊。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了QQ 連發器(Trojan.WebAuto、Trojan.WebAuto.a)病毒。 病毒類型:木馬病毒
傳播途徑:QQ軟件/網絡
依賴系統: WINDOWS 9X/NT/2000/XP
病毒介紹:
2004年2月27日,瑞星全球反病毒監測網率先截獲壹個傳播非常迅速,破壞性很強的的惡性木馬病毒,並命名為“美女殺手 (Trojan.Legend.Syspoet.b)”病毒,該病毒通過QQ發送虛假消息給在線好友,導致在線好友上當。病毒會將自己偽裝成網址,當用戶點擊該網址時會出現壹副美女照片,當照片被打開的時候用戶的電腦則已經被病毒感染。
該病毒會利用微軟瀏覽器的漏洞進行攻擊,瀏覽器版本級別低於IE6.0 SP1的電腦染毒後,病毒會修改壹些文件的關聯,導致象OFFICE軟件、任務管理器、註冊表編輯器等程序無法使用,該病毒還會破壞資源管理器,只要用戶打開目錄的深度超過五級,病毒就自動關閉瀏覽器。該病毒會幹掉含有“殺毒”字樣的窗口,因此會造成壹些反病毒軟件及病毒專殺工具無法使用、壹些反病毒公司的主頁無法登陸等現象。另外該病毒會修改用戶電腦的系統配置,導致用戶重啟系統時無法進入“我的電腦”。
病毒盜取《傳奇》遊戲的密碼和其他信息,並通過十幾個郵件服務器向外發送大量的病毒郵件,阻塞網絡。據瑞星反病毒工程師介紹,沒有被感染的用戶可以通過個人防火墻來預防該病毒,當用戶發現有Mshta.exe的程序訪問外部網絡時,應該立刻禁止,如果該程序訪問網絡成功,將會對用戶電腦產生上述破壞。
病毒的特性、發現與清除:
1. 病毒用VB語言編寫,采用UPX壓縮。
2. 病毒壹旦執行,病毒將自我復制到系統文件夾,並重命名為隨機文件名的可執行文件。
3. 病毒將在註冊表啟動項下,創建隨機註冊表鍵值來使自己隨Windows系統自啟動。
4. 終止帶有下列字眼的程序的執行:瑞星、金山毒霸、江民、專殺、毒、木馬、防火墻、監控、註冊表編輯器、任務管理器、進程列表、進程管理、Antivirus、Trojan、REGSNAP、REGSHOT、REGISTRY MONITOR、W32DASM。
5. 通過QQ發送虛假消息給在線好友,導致在線好友上當。
6.盜取遊戲“傳奇”的各種信息,將盜取的信息發送到可配置的指定郵箱。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“美女殺手(Trojan.Legend.Syspoet.b)”病毒。 該病毒采用VC++(SDK)編寫,是壹個通過QQ傳播的病毒。
壹、病毒評估
1.病毒中文名:QQ女友
2.病毒英文名:Worm.LovGate.v.QQ
3.病毒大小:53,248 字節
4.病毒類型:蠕蟲病毒
5.病毒危險等級:★★★★
6.病毒傳播途徑:網絡
7.病毒依賴系統:WINDOWS9X/NT/2000/XP
二、病毒的破壞
利用QQ發送誘惑信息,導致用戶上當。病毒發送壹些誘惑新的文字和鏈接給在線的好友,致使不明真相的用戶上當。
三、病毒報告
1.復制自己到系統目錄:
%SYSDIR%\internet.exe
%SYSDIR%\svch0st.exe
2.修改如下註冊表鍵值: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
Network Associates,Inc. = INTERNET.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
S0undMan = %SYSDIR%\SVCH0ST.EXE 3.病毒運行後將建立壹個HTTP服務器,監聽TCP端口20808
該功能將響應遠程的下載請求,將本地的病毒文件復制到遠程機器。
4.病毒搜索QQ聊天軟件,向在線的好友發送誘惑信息,內容如下:
“妳是那樣地美,美得象壹首抒情詩。妳全身充溢著少女的純情和青春的風采。
留給我印象最深的是妳那雙湖水般清澈的眸子,以及長長的、壹閃壹閃的睫毛。
像是探詢,像是關切,像是問候。
這是妳需要的東西:
下載地址1
和 Web 服務器。這些服務為攻擊者提供了方便,而又對用戶沒有太大作用,如果刪除它們,就能大大減少被攻擊的可能性,增強電腦的安全。
3.經常升級安全補丁。據統計,大部分網絡病毒都是通過系統安全漏洞進行傳播的,象沖擊波、大無極、SCO炸彈、網絡天空等。漏洞的存在,會造成殺毒殺不幹凈的狀況,所以應該定期到微軟網站去下載最新的安全補丁,堵住系統的漏洞。
4.使用復雜的密碼。有許多網絡病毒是通過猜測簡單密碼的方式攻擊系統的,因此使用復雜的密碼,將會大大提高計算機的安全系數,減少被病毒攻擊的概率。
5.迅速隔離受感染的計算機。當您的計算機發現病毒或異常時應立刻斷網,以防止計算機受到更多的感染,或者成為傳播源,再次感染其它計算機。
6.了解壹些病毒知識。這樣您就可以及時發現新病毒並采取相應措施,在關鍵時刻使自己的計算機免受病毒破壞。如果能了解壹些註冊表知識,就可以定期看壹看註冊表的自啟動項是否有可疑鍵值;如果能了解壹些內存知識,就可以經常看看內存中是否有可疑程序。
7.最好是安裝專業的防毒軟件進行全面監控。在病毒日益增多的今天,使用殺毒軟件進行防毒,是越來越經濟的選擇,不過用戶在安裝了反病毒軟件之後,應該經常進行升級、將壹些主要監控打開(如郵件監控)、遇到問題要及時上報,這樣才能真正保障計算機的安全。