“QQ尾巴病毒”俗称“QQ尾巴”和“QQ木马”。
病毒类型:木马
危险级别:★
影响平台:Win9X/2000/XP/NT/Me
[编辑本段]
描述
Trojan/QQMsg.FakeUpdt随机发送一些消息。
传播过程及特征:
1.病毒运行后,将创建下列文件:
[中毒症状]
中毒症状
%WinDir%\winsoft, 43008字节
%WinDir%\microsoft.exe, 43008字节
2.修改注册表:
/在注册表中添加下列启动项:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加键值:'KV2004' = 'microsoft.exe'
这样,在Windows启动时,病毒就可以自动执行。
/病毒通过修改下列注册表键值,修改文件关联:
HKEY_CLASSES_ROOT\txtfile\shell\open\command
修改为:'' = 'c:\windows\winsoft '%1' '
这样,用户打开任何txt文件,都会再次运行病毒程序。
[编辑本段]
解决方案
1.及时升级杀毒软件,打开监视程序。KV的邮件监视功能可以有效拦截通过邮件传播的网络蠕虫病毒。防止病毒进入系统。
2.已被此病毒感染的用户可以使用杀毒软件最新版本直接在系统下彻底查杀。方法是先对系统内存进行扫描查杀,再对整个硬盘进行查杀。对于病毒创建的病毒体文件,杀毒软件会自动进行删除。
该病毒会偷偷藏在用户的系统中,发作时会寻找QQ窗口,给在线上的QQ好友发送诸如“快去这看看,里面有蛮好的东西--”之类的假消息,诱惑用户点击一个网站,如果有人信以为真点击该链接的话,就会被病毒感染,然后成为毒源,继续传播。
该病毒可以突破大多数病毒防火墙,危害相当大 。
这几天上网经常收到网友发过来的"呵呵,其实我觉得这个网站真的不错,你看看 HXXP://
nicex.126.com ""HXXP: //
nicex.126.com看看啊. 我最近照的照片~ 才扫描到网上的.看看我是不是变了样? "这类的信息,一看就知道是"爱情之门"变种病毒。
于是登陆网站,下载了所有网页,在里面找到了这个病毒,病毒是作为控件运行的,也就是在你的计算机提示网络安全对话框并且你点是的时候运行的那个.(文件名是love.exe)
病毒运行后会在你的系统中产生如下几个文件
C:\\WINNT\\system32\\DirectX.exe(系统隐藏)
C:\\WINNT\\system32\\system.exe
C:\\WINNT\\system32\\WINHELP.EXE(系统隐藏)
C:\\WINNT\\system32\\WINhelp32.exe(系统隐藏)
C:\\WINNT\\system32\\WinSocks.dll
C:\\WINNT\\intrenat.exe
在注册表中添加如下几项:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\Intrenat: \'C:\\WINNT\\intrenat.exe\'
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\: \'winhelp.exe\'
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices\\Intrenat: \'C:\\WINNT\\intrenat.exe\'
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows\\run:\'
WINhelp32.exe\'
在注册表中修改如下:
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell: \'Explorer.exe\'
被修改为
HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Shell: \'Explorer.exe C:\\WINNT\\system32\\DirectX.exe\'
病毒运行后回有intrenat.exe和WINHELP.EXE两个进程常驻内存(可以在任务管理器中看到)
病毒的危害与以前几个版本大同小异
[编辑本段]
清除方法
首先打开任务管理器,禁止两个正在运行的病毒进程.然后,删除病毒创建的文件。
注意:有3个文件是系统隐藏文件属性,要先修改"文件夹选项"才能看到,用Windows搜索是找不到系统隐藏文件的.
注册表做相应修改就可以了,删掉病毒创建的键,修改回被修改的键。
Win9X系统
除了上面的,病毒可能会对system.ini和win.ini两个文件进行修改,你可以在sysedit编辑器中改回来.
其他的应该没甚么差别
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。