设为首页收藏本站

 找回密码
 注册
搜索
热搜: 回贴
微赢网络技术论坛 门户 安全攻防 查看内容

"QQ狩猎者"最新变种清除方法

2009-12-14 01:45| 发布者: admin| 查看: 14| 评论: 0|原作者: 玄霄

病毒名称:
  Win32.Troj.QQmsgflash2


  中文名称: 狩猎者
  威胁级别: 3A
  受影响系统:
  Win9X
  Win2000
  Windows XP
  Windows Server 2003
  病毒类型: 木马
  
  该病毒会自动向QQ里的好友发带毒网址的消息,带毒网站中隐藏的恶意代码会利用IE的漏洞自动下载并执行病毒。即便是用户已经打过IE的漏洞补丁,病毒也会采用欺骗方式引诱用户下载。该木马还会窃取用户系统中的传奇游戏密码,并通过局域网的共享目录传播。
  
  请立即升级金山毒霸病毒库到11月4日的版本,即可防止该病毒的危害。
  
  技术特征:
  
  1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网:http://flash2.533.net "
  
  2、当浏览带毒网站时,会利用IE漏洞,尝试新增sys文件和tmp文件的执行关联,并下载执行病毒文件 b.sys,如果IE已经打上补丁,则会弹出一个插件对话框,引诱用户安装,安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中,文件名为"b.exe",如果用户拒绝安装该插件,会不断弹出对话框要求用户安装。(如下图)



  
  3、复制文件:
  
  A、复制病毒体到 %SystemRoot% 文件夹中,文件名为"Rundll32.exe";

  B、复制病毒体为 "C:\cmd.exe";

  C、试图复制病毒体到共享目录中,名为"病毒专杀.exe"和"周杰伦演唱会.exe"。
  
  4、添加注册表启动项,以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"
  
  5、修改和新增以下文件关联
   A、修改.exe文件的关联,每当执行exe文件时,即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\exefile\shell\open\command 修改如下键值:默认="C;\cmd.exe %1 &*"
  
   B、新增.sys文件的执行关联,使得在浏览带毒网站时执行病毒文件 b.sys在注册表的主键: HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下键值:默认="""%1"" %*"
  
   C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下键值:默认="""%1"" %*"
  
  6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。
   7、在Win2000、WinXP、Win2003系统中,系统文件"Rundll32.exe"就在系统目录中,因而病毒会尝试将该文件覆盖,但这几个系统都能自动保护并恢复受到破坏的系统文件,因而病毒不能正常加载,但仍可以通过EXE关联被加载.
解决方案:
  
  1、工具清除
  
  请升级金山毒霸的病毒库到11月4日版本,即可完全处理该病毒;
  利用专杀工具(Duba_qqmsg.exe)杀毒:http://www.duba.net/download/3/34.shtml
  
  2、手工清除
  
  A、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能;
  
  B、重新启动到安全模式下;
  
  C、先将regedit.exe改名为regedit.com,再用资源管理器结束cmd.exe进程,然后运行regedit.com,将EXE关联修改为""%1" %*",再删除以下文件:C:\cmd.exe、%Windows%\Download Program Files\b.exe。对于Win9x系统,还要删除%SystemRoot%\Rundll32.exe,再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会.exe"这两个文件,文件大小为11184字节,如果有,将其删除。
  
  D、清理注册表:
  
  打开注册表,删除主键 HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open 修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 的键值为 "%1" %*
  
  防范措施:
  
  不要轻易点击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。
  



  专家提醒:
  
  1、请及时升级您的毒霸到最新。因为病毒随时在产生,金山毒霸的病毒库也会随时升级中,请多关注金山毒霸安全咨询网(duba.net )上的最新病毒公告,或者订阅金山毒霸的“病毒短信”,为您提供最新最快的病毒信息和毒霸的升级信息;
  
  2、打开网络和病毒防火墙,为您的系统打上微软的最新补丁。杀病毒不如防病毒,只要防止住病毒进入的通道,就可彻底免除病毒带来的危害;
  
  3、不随意打开陌生人的邮件。当今的病毒不再只是通过计算机来传播,病毒制作者会利用人们好奇的心理来骗取自己激活的机会,如前段时间的“911”蠕虫病毒,就是利用人们对“911”事件的关注心态,来骗取用户打开邮件,从而使用病毒获得激活进会。大量的木马和黑客程序都会以这种方式来获得运行权;
  
  4、掌握一些相关的系统操作知识,这样可以方便、及时的发现新病毒。

收藏 分享 邀请

最新评论

相关分类

下级分类

QQ|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )

GMT+8, 2024-10-1 03:31 , Processed in 0.141105 second(s), 12 queries , Gzip On, MemCache On.

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

返回顶部