详细说明5大QQ病毒特征及清除方法

　　病毒主要特征

　　这种病毒并不是利用QQ本身的漏洞 进行传播。它其实是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统，进而借助QQ进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到最高版本，那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行，就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用QQ向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，通常都是以下几句中的一种。

　　QQ收到信息如下：

　　1. HoHo~~ http://www.mm**.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。

　　2. 呵呵，其实我觉得这个网站真的不错，你看看http://www.ktv***.com/

　　3. 想不想来点摇滚粗口舞曲，中华 DJ 第一站，网址告诉你http://www.qq33**.com.。不要告诉别人 ~ 哈哈，真正算得上是国内最棒的 DJ 站点。

　　4. http//www.hao***.com 帮忙看看这个网站打不打的开。

　　5. http://ni***.126.com 看看啊. 我最近照的照片~ 才扫描到网上的。看看我是不是变了样?

　　清除方法

　　1.在运行中输入MSconfig，如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。在C：\WINDOWS一个叫qq32.INI的文件，文件里面是附在QQ后的那几句广告词，将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

　　2.安装系统漏洞补丁

　　由病毒的播方式我们知道，“QQ尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。

　　二、QQ“缘”病毒

　　病毒特征：

　　该病毒用VB语言编写，采用ASPack压缩，利用QQ消息传播。运行后会将IE默认首页改变为：HTTP://WWW.**115.COM/，如果你发现自己的IE首页被修改成以上网址，就是被该病毒感染了。

　　病毒会利用QQ发送例如“今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日，300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子，从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史，我们要时刻警惕日本人的野心，钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息，消息里的链接是病毒网址。

　　清除方法：

　　使用了下面的办法将其彻底删除。

　　找到下列文件:

　　C:\windows\system\noteped.exe

　　C:\windows\system\Taskmgr.exe

　　C:\Windows\noteped.exe

　　C:\Windwos\system32\noteped.exe

　　删除掉:其中Taskmgr.exe 要先打开"window 任务管理器",选中进程"Taskmgr.exe",杀掉

　　注意:有两个名字叫"Taskmgr.exe"进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"

　　然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"

　　找到"Taskmgr" 删除

　　如果你还不明白那请你先找到那几个文件，然后再按下面步骤操作:

　　1.在任务栏上点击鼠标右键，选择任务管理器

　　2.选择进程里的Taskmgr.exe，但我后来又测试也进行名称不一定是大写的，也有可能是小写，一般排在上面的一个是。

　　3.点击开始-运行，输入Regedit进入注册表

　　4.在注册表中找到 "\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run，将Taskmgr"项删除"。

　　删除后重启计算机，《缘》QQ病毒宣布彻底删除。

　　另外提醒大家，尽快更新你的IE到IE6 SP1 这样可以减少很多的IE被改机会。

　　近来网上出现一种叫做“QQ尾巴”的木马病毒。该病毒会偷偷藏在你的系统中，当你在使用QQ的时候，它会自动寻找QQ窗口，给在线上的QQ好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦--”之类的假消息，如果有人信以为真点击该链接的话，将会感染上病毒，并且成为病　四、“武汉男生”病毒

　　病毒特性：

　　此病毒是“武汉男生”的一系列新变种，病毒发作后会利用QQ聊天工具进行传播，定时给QQ网友发送包含网址的信息来诱使用户点击，该网页利用了IE的Object Data漏洞下载并运行病毒本身，该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL，IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta，那么该URL指定的文件就能够执行，无论IE设置的安全级别有多高。

　　该变种较明显的特点是，病毒运行后，除定时发给QQ网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息，并以邮件形式发给盗密码者，还会结束多种反病毒软件，以保护自身不被清除。

　　(1)如果点击病毒网页，将会显示美女图片，而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞，下载并运行leoexe.gif和leo.asp文件，其中leoexe.gif并不是图像文件，而是exe类型的病毒体，leo.asp是病毒释放器;

　　(2)病毒一旦运行，将结束大部分杀毒软件、防火墙以及某些病毒专杀工具;

　　(3)每隔一段时间给QQ网友发送信息

　　(4)病毒运行后会复制自身到系统目录下，文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加：

　　“windows update” = “%安装目录%\system\updater.exe” %安装目录% 是Windows 系统的安装目录，在不同系统下该目标表现可能不同，可能的有：c:\windows;c:\winnt 等。

　　(5)修改文本文件(*.txt)关联和可执行文件关联，直接指向病毒本身，如果用户运行任意的txt文件和exe文件都会激活病毒。

　　(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息，发送到指定的E-Mail信箱。

　　清除病毒

　　1、删除病毒在系统目录下释放的病毒文件

　　2、删除病毒在注册表下生成的键值

　　3、运行杀毒软件，对病毒进行全面清除

　　[page_break]

　　四、“爱情森林”病毒

　　(一)病毒特征

　　该木马程序原始文件名为hack.exe，用Delphi编写，并用UPX进行了压缩。木马程序被运行后会：

　　1、复制自身到Windows操作系统的system目录(通常为windowssystem)下，并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会迷惑用户，使用户误认为这是一个正常的系统文件。

　　2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)

　　3、该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe，并执行下载下来的程序，进行其它的破坏活动。

　　清除方法

　　(1)先打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。

　　(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。

　　(二)变种一病毒特征

　　该病毒运行后会：

　　1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下，并分别更名为rundll.exe和sysedit32.exe。

　　2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe"，使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。

　　3、修改注册表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe，关联记事本，使用户打开txt文件时木马程序能获得运行机会。

　　4、该木马会通过QQ程序向其它的QQ用户发送“http://sckiss.yeah.net，你快去看看”的消息，诱导用户浏览含有恶意代码的网页。

　　5、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。有趣的是，由于病毒作者使用了一个组件来发送邮件，因此当木马程序执行发送邮件的操作时，该组件可能会弹出两个对话框，其中一个的内容为“220 welcom to coremail system(With Anti-Spam) 2.1”，另外一个对话框为“Cannot open file .mima.txt”。

　　清除方法

　　(1)打开任务管理器，结束掉RUNDLL和SYSEDIT32进程。

　　(2)删除系统文件夹(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。

　　(3)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为intarnet=%windowssystem%rundll.exe\"的键值。恢复HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)

　　(4)若根目录下存在文件setup.txt或mima.txt,将其删除。

　　(三)变种二病毒特征

　　该木马程序被包装在一个名为s.eml的邮件中，并且利用了Iframe漏洞。当没有打补丁的用户浏览含有该邮件的网页时，邮件中的木马程序(Hack.exe)就会自动运行。

　　木马程序被运行后会：

　　1、复制自身到Windows系统目录(通常为windowssystem)下，改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会使用户误认为这是一个正常的系统文件。

　　2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Intarnet="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)

　　3、该木马程序会通过QQ的“发送消息”窗口给QQ用户的网友发送如下信息“http://ajim.delphibbs.com去看看，很好看的”，当用户点击该网址浏览时，木马程序就会被再次激活，从而使该木马通过QQ聊天工具不断地传播自己。

　　清除方法：

　　(1)打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。

　　(2)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。

　　(四)变种三病毒特征

　　该病毒运行后会：

　　1、复制两个自己的拷贝到Windows的系统目录(Win9x通常为Windowssystem,WinNt通常为WinNtsystem32)下，并分别更名为rundll.exe和sysedit32.exe。

　　2、修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值intarnet="%windowssystem%rundll.exe"，使木马程序在开机后自动运行(其中%windowssystem%为Windows的系统目录)。

　　3、修改注册表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默认键值为%windowssystem%sysedit32.exe，关联记事本，使用户打开txt文件时木马程序能获得运行机会。

　　4、修改注册表，修改IE浏览器的默认页，开始页，起始页。

　　5、该木马会通过QQ程序向其它的QQ用户发送“http://ontimer.spedia.net，你快去看看”的消息，诱导用户浏览含有恶意代码的网页。

　　6、该木马还会尝试盗取QQ用户的密码并将其发送至指定的邮箱。

　　清除方法：

　　(1)打开任务管理器，结束掉RUNDLL和SYSEDIT32进程。

　　(2)删除系统文件夹(Win9x通常为Windows\\system,WinNt通常为WinNt\\system32)下名为RUNDLL.exe和sysedit32.exe的文件(文件大小为1781752字节)。

　　(3)打开注册表编辑器，删除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名为intarnet=%windowssystem%\\rundll.exe\"的键值。恢复HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command的默认键值为Notepad %1。(其中%windowssystem%为Windows的系统文件夹)

　　(4)恢复IE的设置。打开注册表编辑器，恢复HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page，HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL，HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page的设置为原来的内容。

关键词：详细说明5大QQ病毒特征及清除办法