Red de conocimiento informático - Conocimiento del nombre de dominio - ¿Cuáles son los virus QQ comunes?

¿Cuáles son los virus QQ comunes?

1. Virus "QQ Tail"

Principales características del virus:

Este virus no se propaga explotando las vulnerabilidades del propio QQ. En realidad, incorpora un fragmento de código malicioso en la página de inicio de un sitio web y utiliza la vulnerabilidad del sistema iFrame de IE para ejecutar automáticamente un programa troyano malicioso, invadiendo así el sistema del usuario y luego usando QQ para enviar información de spam. Si el sistema del usuario no ha instalado parches de vulnerabilidad o no ha actualizado IE a la versión más alta, al visitar estos sitios web, se ejecutará el código malicioso incrustado en la página web y se ejecutará un programa troyano a través de la vulnerabilidad de IE para entrar en la máquina del usuario. Luego, cuando el usuario utiliza QQ para enviar mensajes a amigos, el programa troyano insertará automáticamente un anuncio al final del mensaje enviado, normalmente una de las siguientes frases.

QQ recibió la siguiente información:

1. HoHo~~ Mi amigo me acaba de enviar esto. Te arrepentirás si no le echas un vistazo, jeje. Dáselo a tus amigos también.

2. Jaja, de hecho creo que este sitio web es realmente bueno, échale un vistazo. /

3. ¿Quieres tocar algo de música rock and roll dance con lenguaje soez? parada para los DJ chinos, os cuento la web.. No se lo digas a nadie ~ Jaja, es realmente el mejor sitio de DJ del país.

4. Ayúdenos a ver si este sitio web se puede abrir.

Método de eliminación:

1. Ingrese a MSconfig durante la operación. Si hay dos opciones "Sendmess.exe" y "wwwo.exe" en el elemento de inicio, desactívelas. Hay un archivo llamado qq32.INI en C:\WINDOWS. En el archivo están las pocas palabras publicitarias adjuntas a QQ. Elimínelas. Vaya a DOS y elimine los dos archivos "Sendmess.exe" y "wwwo.exe".

2. Instalar parches de vulnerabilidad del sistema

Sabemos por la forma en que se propaga el virus que el virus troyano "QQ Tail" se propaga mediante el iFrame de IE Incluso si el archivo de virus no se ejecuta, el virus aún puede hacerlo. ejecutar automáticamente a través de la laguna jurídica para lograr el propósito de la infección. Por lo tanto, debe ser lo suficientemente valiente como para descargar rápidamente el parche de vulnerabilidad iFrame para IE.

2. Virus QQ "Yuan"

Características del virus:

El virus está escrito en lenguaje VB, comprimido mediante ASPack y se propaga a través de mensajes QQ. Después de ejecutar, la página de inicio predeterminada de IE se cambiará a: mand Modifique el siguiente valor clave: default = "C; \cmd.exe 1 amp; *"

B. Agregue la asociación de ejecución de .sys para que, al navegar por un sitio web venenoso, ejecute la clave principal del archivo de virus b.sys en el registro: HKEY_CLASS_ROOT\sysfile\shell\open\command Modifique el siguiente valor de clave: Default="""1". " *"

C. La ejecución del nuevo archivo .tmp está asociada con la clave principal en el registro: HKEY_CLASS_ROOT\tmpfile\shell\open\command Modifique el siguiente valor de clave: Default="" "1"" *"

6. Intenta robar la leyenda La contraseña del juego se envía al buzón "scmsmj@tom.com" a nombre de "mj25257758@263.sina.com" a través del motor de correo incorporado.

7. En los sistemas Win2000, WinXP y Win2003, el archivo del sistema "Rundll32.exe" está en el directorio del sistema, por lo que el virus intentará sobrescribir el archivo, pero estos sistemas pueden protegerlo y recuperarlo automáticamente. archivos del sistema dañados, por lo que el virus no se puede cargar normalmente, pero aún se puede cargar mediante la asociación EXE

Método de eliminación:

A. Cierre Windows Me, Windows XP, Windows 2003 ". Función "Restaurar sistema";

B. Reiniciar en modo seguro;

C. Primero cambie el nombre de regedit.exe a regedit.com y luego use el Administrador de recursos para finalizar el proceso cmd .exe. luego ejecute regedit.com, cambie la asociación EXE a ""1" *" y luego elimine los siguientes archivos: C:\cmd.exe, Windows\Download Program Files\b.exe. Para sistemas Win9x, elimine SystemRoot\Rundll32.exe y luego vaya al directorio compartido para ver si hay dos archivos, "Virus Killer.exe" y "Jay Chou Concert.exe". El tamaño del archivo es 11184 bytes. hay uno, bórralo.

D. Limpiar el registro:

Abra el registro, elimine las claves primarias HKEY_CLASSES_ROOT\sysfile\shell\open, HKEY_CLASSES_ROOT\tmpfile\shell\open y modifique HKEY_CLASSES_ROOT\exefile\shell \open\ El valor clave del comando es "1" *

Medidas de precaución:

No haga clic fácilmente en enlaces desconocidos en QQ y no instale complementos de origen desconocido (como el llamado "Complemento de reproducción de animación 2.0").

4. Virus "Wuhan Boy"

Características del virus:

Este virus es una serie de nuevas variantes de "Wuhan Boy". utilizará QQ La herramienta de chat se utiliza para propagarse y la información que contiene URL se envía periódicamente a los internautas de QQ para inducir a los usuarios a hacer clic. La página web explota la vulnerabilidad de datos de objetos de IE para descargar y ejecutar el virus. la etiqueta DATA de OBJECT en HTML. Para las URL marcadas con DATOS, IE procesará los datos según el encabezado HTTP devuelto por el servidor. Si el tipo de URL Content-Type devuelto en el encabezado HTTP es Aplicación/hta, entonces el archivo especificado por la URL se puede ejecutar independientemente de qué tan alto sea el nivel de seguridad establecido por IE.

La característica más obvia de esta variante es que después de ejecutar el virus, además de enviar regularmente la misma URL a los internautas de QQ, también aprovechará la oportunidad para robar la cuenta, la contraseña y otra información de el juego "Legend" y enviarlo por correo electrónico. Cuando se envía a los ladrones de contraseñas, también se eliminarán varios programas antivirus para evitar que los eliminen.

(1) Si hace clic en la página web del virus, se mostrarán imágenes de mujeres hermosas y aparecerá una ventana invisible titulada "ASP Space".

Esta página web aprovecha las vulnerabilidades de IE para descargar y ejecutar archivos leoexe.gif y leo.asp. leoexe.gif no es un archivo de imagen, sino un virus de tipo exe, y leo.asp es un liberador de virus. (2) Una vez que el virus se ejecuta, finalizará la mayoría del software antivirus, firewalls y ciertas herramientas para eliminar virus.

(3) Enviar mensajes a los internautas de QQ a intervalos regulares

( 4) Después de ejecutar el virus, se copiará en el directorio del sistema. Los nombres de los archivos son updater.exe, Systary.exe y sysnot.exe y se almacenarán en el registro.

HKEY_LOCAL_MACHINE\. SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices Agregar:

"windows update" = "Directorio de instalación\system\updater.exe" El directorio de instalación es el directorio de instalación del sistema Windows. El rendimiento objetivo puede ser. diferentes bajo diferentes sistemas. Posibles ejemplos son: c: \windows;c:\winnt etc.

(5) Modifique la asociación de archivos de texto (*.txt) y archivos ejecutables para que apunten directamente al virus. Si el usuario ejecuta cualquier archivo txt o exe, el virus se activará.

(6) El virus buscará en la computadora la cuenta, contraseña y otra información de Legend Games y la enviará al buzón de correo electrónico designado.

Eliminar el virus

1. Eliminar los archivos de virus liberados por el virus en el directorio del sistema

2. Eliminar los valores clave generados por el virus en el registro

3. Ejecute el software antivirus para eliminar completamente el virus

5. Virus "Love Forest"

(1) Características del virus

p>

Este troyano El archivo original del programa se llama hack.exe, está escrito en Delphi y comprimido con UPX. Después de ejecutarse, el programa troyano:

1. Se copiará en el directorio del sistema operativo Windows (normalmente windowssystem) y le cambiará el nombre a Explorer.exe. Dado que tiene el mismo nombre que el archivo del Explorador en el directorio de Windows, confundirá a los usuarios y les hará pensar erróneamente que es un archivo de sistema normal.

2. Modifique el registro y agregue el valor clave Explorer="windowssystemExplorer.exe" en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun para que el programa troyano pueda ejecutarse automáticamente después del inicio. (donde windowssystem es el directorio del sistema de Windows)

3. El programa troyano también descargará el archivo update.exe en site/,

y ejecutará el programa descargado para causar otros daños. . Actividad.

Método de limpieza

(1) Primero abra el administrador de tareas, finalice el proceso del Explorador ubicado a continuación y luego elimine el programa troyano Explorer.exe en el directorio del sistema. O reinicie en DOS y vaya al directorio del sistema para eliminar el programa troyano directamente.

(2) Abra el editor de registro y elimine el valor clave denominado Explorer en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun.

(2) Características del virus variante 1

Después de ejecutarse, el virus:

1. Copiará dos copias de sí mismo al directorio del sistema de Windows (Win9x generalmente Para el sistema Windows, WinNt suele ser WinNtsystem32) y se le cambia el nombre a rundll.exe y sysedit32.exe respectivamente.

2. Modifique el registro y agregue el valor clave intarnet="windowssystemrundll.exe" en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun para que el programa troyano se ejecute automáticamente después del inicio (windowssystem es el directorio del sistema de Windows).

3. Modifique el registro, modifique el valor de clave predeterminado de HKEY_CLASSES_ROOTtxtfileshellopencommand a windowssystemsysedit32.exe y asócielo con el Bloc de notas para que el programa troyano pueda ejecutarse cuando el usuario abra el archivo txt.

4. El troyano enviará "al sistema coremail (con antispam) 2.1" a otros usuarios de QQ a través del programa QQ, y otro cuadro de diálogo es "No se puede abrir el archivo .mima.txt".

Método de limpieza

(1) Abra el administrador de tareas y finalice los procesos RUNDLL y SYSEDIT32.

(2) Elimine los archivos denominados RUNDLL.exe y sysedit32.exe (el tamaño del archivo es 1781752 bytes) en la carpeta del sistema (Win9x suele ser Windowssystem, WinNt suele ser WinNtsystem32).

(3) Abra el editor de registro y elimine el valor clave denominado intarnet=windowssystemrundll.exe\" en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun. Restaure el valor clave predeterminado de HKEY_CLASSES_ROOTtxtfileshellopencommand en el Bloc de notas 1. (donde windowssystem es el archivo de sistema de Windows carpeta)

(4) Si el archivo setup.txt o mima.txt existe en el directorio raíz, elimínelo

(3) Características del virus variante 2

El programa troyano está empaquetado en un correo electrónico llamado s.eml y explota la vulnerabilidad Iframe. Cuando un usuario sin parche navega por la página web que contiene el correo electrónico, el programa troyano (Hack.exe) en el correo electrónico se ejecutará automáticamente.

Después de ejecutar el troyano, hará lo siguiente:

1. Se copiará en el directorio del sistema de Windows (normalmente windowssystem) y le cambiará el nombre a Explorer.exe. El archivo Explorer tiene el mismo nombre. nombre, por lo que los usuarios pueden confundirlo con un archivo normal del sistema

2. Modifique el registro y agregue el valor clave Intarnet="windowssystemExplorer.exe" en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun para que el programa troyano pueda ejecutarse automáticamente después del encendido. .

(donde windowssystem es el directorio del sistema de Windows)

3. El programa troyano enviará el siguiente mensaje a los internautas de los usuarios de QQ a través de la ventana “Enviar mensaje” de QQ: “Ve y echa un vistazo, es muy agradable.”

p>

Cuando el usuario hace clic en la URL para navegar, el programa troyano se activará nuevamente, permitiendo que el troyano se propague continuamente a través de la herramienta de chat QQ.

Método de limpieza:

(1) Abra el administrador de tareas, finalice el proceso del Explorador ubicado a continuación y luego elimine el programa troyano Explorer.exe en el directorio del sistema. O reinicie en DOS y vaya al directorio del sistema para eliminar el programa troyano directamente.

(2) Abra el editor de registro y elimine el valor clave denominado Explorer en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun.

(4) Características del virus variante tres

Después de ejecutarse, el virus:

1. Copiará dos copias de sí mismo al directorio del sistema de Windows (Win9x generalmente Para el sistema Windows, WinNt suele ser WinNtsystem32) y se le cambia el nombre a rundll.exe y sysedit32.exe respectivamente.

2. Modifique el registro y agregue el valor clave intarnet="windowssystemrundll.exe" en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun para que el programa troyano se ejecute automáticamente después del inicio (windowssystem es el directorio del sistema de Windows).

3. Modifique el registro, modifique el valor de clave predeterminado de HKEY_CLASSES_ROOTtxtfileshellopencommand a windowssystemsysedit32.exe y asócielo con el Bloc de notas para que el programa troyano pueda ejecutarse cuando el usuario abra el archivo txt.

4. Modifique el registro, modifique la página predeterminada, la página de inicio y la página de inicio del navegador IE.

5. El troyano enviará "mand" a otros usuarios de QQ a través del programa QQ. El valor clave predeterminado de mand es Notepad 1. (donde windowssystem es la carpeta del sistema de Windows)

<. p> (4) Restaure la configuración de IE Abra el editor de registro y restaure HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page, HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main. \\Default_Page_URL, HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\La página local está configurada con el contenido original

(5) Características del virus variante 4

Este programa troyano utiliza Escrito en Delphi y comprimido con UPX, el programa requiere que la biblioteca dinámica de Delphi esté instalada en la máquina del usuario para ejecutarse. El programa tiene las mismas características que la primera versión de "Love Forest", por lo que es muy probable. ser el autor del virus Generado al recompilar la primera versión de "Love Forest".

Después de ejecutarse, el programa troyano:

1. Se copiará en el directorio del sistema operativo Windows (normalmente windowssystem) y le cambiará el nombre a Explorer.exe. Dado que tiene el mismo nombre que el archivo del Explorador en el directorio de Windows, confundirá a los usuarios y les hará pensar erróneamente que es un archivo de sistema normal.

2. Modifique el registro y agregue el valor clave Explorer="windowssystemExplorer.exe" en HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun para que el programa troyano pueda ejecutarse automáticamente después del inicio. (donde windowssystem es el directorio del sistema de Windows)

3. El programa troyano también descargará el archivo update.exe en site/,

y ejecutará el programa descargado para causar otros daños. . Actividad.

Método de limpieza

(1) Primero abra el administrador de tareas, finalice el proceso del Explorador ubicado a continuación y luego elimine el programa troyano Explorer.exe en el directorio del sistema. O reinicie en DOS y vaya al directorio del sistema para eliminar el programa troyano directamente.

(2) Abra el editor de registro y elimine el valor clave denominado Explorer en HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

6. ” virus

Características del virus:

Utiliza QQ para enviar mensajes seductores, provocando que los usuarios se dejen engañar. El virus envía nuevos textos y enlaces tentadores a amigos en línea, lo que hace que los usuarios que no saben la verdad se dejen engañar.

1. Cópiese al directorio del sistema:

SYSDIR\internet.exe

SYSDIR\svch0st.exe

2. Modificar como sigue el siguiente truco de inicio automático del virus de clave de registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Network Associates, Inc." = "INTERNET.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan" = "SYSDIR\SVCH0ST.EXE"

3. Después de ejecutar el virus, se creará un servidor HTTP, escuchando en el puerto TCP 20808

Esta función responderá a las solicitudes de descarga remota y copiará archivos de virus locales a la máquina remota.

4. El virus busca en el software de chat QQ y envía mensajes seductores a amigos en línea. El contenido es el siguiente:

"Eres tan hermosa, tan hermosa como un poema lírico. Tu. todo el cuerpo Lleno de inocencia juvenil y encanto juvenil.

Lo que más me impresionó fueron tus ojos tan claros como el agua de un lago y tus pestañas largas y centelleantes.

Como consulta, como inquietud, como saludo…………

Esto es lo que necesitas:

Descargar dirección 1

"

"c:\123456.exe"

"c:\pass.exe"

"c:\game .exe"

"c:\my_photo.exe"

"c:\update.exe"

"c:\mp3.exe"

p>

"c:\666666.exe"

Estos son los virus en sí

5. En vista de la particularidad del virus, especialmente las usuarias de QQ, no lo hagan. Déjese engañar cuando vea la información anterior

Método de limpieza

(1) Abra el administrador de tareas para ver si hay un proceso llamado: INTERNET.EXE o SVCH0ST.EXE, y. termínelo

(2) Abra el editor de registro y elimine el siguiente valor de clave si existe:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

.

"Network Associates, Inc." = "INTERNET.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan" = "SYSDIR\SVCH0ST . EXE"

(3) Elimine los archivos en el directorio WINSYS: SVCH0ST.EXE y SVCH0ST.EXE

Nota: WINSYS es el directorio de instalación del sistema Windows, en win9x, winme , El valor predeterminado es: C:\WINDOWS\SYSTEM en winxp, y el valor predeterminado es: C:\WINNT\SYSTEM32 en win2k

上篇: ¿Cuáles son las características de los indicadores técnicos de las acciones fuertes? 下篇: ¿Cómo comprobar la memoria en funcionamiento de los teléfonos móviles LeTV?

Artículos populares