QQ病毒查殺完全手冊(cè)(2)
QQ病毒查殺完全手冊(cè)
清除方法
(1)打開任務(wù)管理器,結(jié)束掉RUNDLL和SYSEDIT32進(jìn)程。
(2)刪除系統(tǒng)文件夾(Win9_通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.e_e和sysedit32.e_e的文件(文件大小為1781752字節(jié))。
(3)打開注冊(cè)表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.e_e\"的鍵值?;謴?fù)HKEY_CLASSES_ROOTt_tfileshellopencommand的默認(rèn)鍵值為Notepad %1。(其中%windowssystem%為Windows的系統(tǒng)文件夾)
(4)若根目錄下存在文件setup.t_t或mima.t_t,將其刪除。
變種第二病毒特征 該木馬程序被包裝在一個(gè)名為s.eml的郵件中,并且利用了Iframe漏洞。當(dāng)沒有打補(bǔ)丁的用戶瀏覽含有該郵件的網(wǎng)頁時(shí),郵件中的木馬程序(Hack.e_e)就會(huì)自動(dòng)運(yùn)行。
木馬程序被運(yùn)行后會(huì):
1、復(fù)制自身到Windows系統(tǒng)目錄(通常為windowssystem)下,改名為E_plorer.e_e。由于它和Windows目錄下的E_plorer文件同名,因此會(huì)使用戶誤認(rèn)為這是一個(gè)正常的系統(tǒng)文件。
2、修改注冊(cè)表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Intarnet="%windowssystem%E_plorer.e_e",使木馬程序可以在開機(jī)后自動(dòng)運(yùn)行。(其中%windowssystem%為Windows的系統(tǒng)目錄)
3、該木馬程序會(huì)通過QQ的“發(fā)送消息”窗口給QQ用戶的網(wǎng)友發(fā)送如下信息“http://ajim.delphibbs.com去看看,很好看的”,當(dāng)用戶點(diǎn)擊該網(wǎng)址瀏覽時(shí),木馬程序就會(huì)被再次激活,從而使該木馬通過QQ聊天工具不斷地傳播自己。
清除方法:
(1)打開任務(wù)管理器,結(jié)束掉位于下面的那個(gè)E_plorer進(jìn)程,然后刪除系統(tǒng)目錄下的木馬程序E_plorer.e_e?;蛘咧匦聠?dòng)到DOS下到system目錄直接刪除該木馬程序。
(2)打開注冊(cè)表編輯器,刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為E_plorer的鍵值?! ∽兎N第三病毒特征
該病毒運(yùn)行后會(huì):
1、復(fù)制兩個(gè)自己的拷貝到Windows的系統(tǒng)目錄(Win9_通常為Windowssystem,WinNt通常為WinNtsystem32)下,并分別更名為rundll.e_e和sysedit32.e_e。
2、修改注冊(cè)表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.e_e",使木馬程序在開機(jī)后自動(dòng)運(yùn)行(其中%windowssystem%為Windows的系統(tǒng)目錄)。
3、修改注冊(cè)表,修改HKEY_CLASSES_ROOTt_tfileshellopencommand的默認(rèn)鍵值為%windowssystem%sysedit32.e_e,關(guān)聯(lián)記事本,使用戶打開t_t文件時(shí)木馬程序能獲得運(yùn)行機(jī)會(huì)。
4、修改注冊(cè)表,修改IE瀏覽器的默認(rèn)頁,開始頁,起始頁。
5、該木馬會(huì)通過QQ程序向其它的QQ用戶發(fā)送“http://ontimer.spedia.net,你快去看看”的消息,誘導(dǎo)用戶瀏覽含有惡意代碼的網(wǎng)頁。
6、該木馬還會(huì)嘗試盜取QQ用戶的密碼并將其發(fā)送至指定的郵箱。
清除方法:
(1)打開任務(wù)管理器,結(jié)束掉RUNDLL和SYSEDIT32進(jìn)程。
(2)刪除系統(tǒng)文件夾(Win9_通常為Windows\system,WinNt通常為WinNt\system32)下名為RUNDLL.e_e和sysedit32.e_e的文件(文件大小為1781752字節(jié))。
(3)打開注冊(cè)表編輯器,刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名為intarnet=%windowssystem%\rundll.e_e\"的鍵值?;謴?fù)HKEY_CLASSES_ROOT\t_tfile\shell\open\command的默認(rèn)鍵值為Notepad %1。(其中%windowssystem%為Windows的系統(tǒng)文件夾)
(4)恢復(fù)IE的設(shè)置。打開注冊(cè)表編輯器,恢復(fù)HKEY_LOCAL_MACHINE\Software\Microsoft\Internet E_plorer\Main\Start Page,HKEY_LOCAL_MACHINE\Software\Microsoft\Internet E_plorer\Main\Default_Page_URL,HKEY_LOCAL_MACHINE\Software\Microsoft\Internet E_plorer\Main\Local Page的設(shè)置為原來的內(nèi)容。
變種第四病毒特征
該木馬程序用Delphi編寫,并用UP_進(jìn)行了壓縮,但該程序需要用戶的機(jī)器上安裝了Delphi的動(dòng)態(tài)庫才能運(yùn)行。該程序具有同“愛情森林”的第一個(gè)版本相同的特征,因此極有可能是病毒作者對(duì)“愛情森林”的第一個(gè)版本重新編譯后生成的。木馬程序被運(yùn)行后會(huì):
1、復(fù)制自身到Windows操作系統(tǒng)的system目錄(通常為windowssystem)下,并改名為E_plorer.e_e。由于它和Windows目錄下的E_plorer文件同名,因此會(huì)迷惑用戶,使用戶誤認(rèn)為這是一個(gè)正常的系統(tǒng)文件。
2、修改注冊(cè)表,在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值E_plorer="%windowssystem%E_plorer.e_e",使木馬程序可以在開機(jī)后自動(dòng)運(yùn)行。(其中%windowssystem%為Windows的系統(tǒng)目錄)
3、該木馬程序還會(huì)在站點(diǎn)http://orchid.diy.163.com/下載文件update.e_e,并執(zhí)行下載下來的程序,進(jìn)行其它的破壞活動(dòng)。
清除方法
(1)先打開任務(wù)管理器,結(jié)束掉位于下面的那個(gè)E_plorer進(jìn)程,然后刪除系統(tǒng)目錄下的木馬程序E_plorer.e_e?;蛘咧匦聠?dòng)到DOS下到system目錄直接刪除該木馬程序。
(2)打開注冊(cè)表編輯器,刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名為E_plorer的鍵值
“QQ炸彈”防護(hù)
一、拒絕消息“炸彈”
消息“炸彈”攻擊可能是“炸彈”攻擊中最常見的。它依靠在很短的時(shí)間間隔內(nèi)發(fā)送大量信息來騷擾用戶。因?yàn)闊o論騰訊公司如何在QQ安全問題上進(jìn)行改進(jìn),最終它所實(shí)現(xiàn)的主要還是點(diǎn)對(duì)點(diǎn)的聊天交流。如果騰訊公司在設(shè)計(jì)QQ時(shí)將兩次發(fā)送消息的時(shí)間間隔設(shè)置得太長(zhǎng) 對(duì)于用戶正常的聊天就可能會(huì)造成影響.而如果太短,則消息”炸彈”就有了生存之地。因此從這個(gè)角度來說,只要能發(fā)消息 消息”炸彈”就不可能停止。話說回來,適當(dāng)減少被消息“炸
彈”轟炸的方法還是有的,下面咱們就一起來看看。
1.原理分析
QQ消息“炸彈”原理其實(shí)比較簡(jiǎn)單:當(dāng)用戶切換到”聊天模式”時(shí),QQ消息“炸彈“程序通過調(diào)用函數(shù)等方式搜索到QQ聊天窗體及文本窗體等程序句柄 然后控制其自動(dòng)發(fā)送消息。由于發(fā)消息時(shí)間間隔很短,使人應(yīng)接不暇,最終形成了“炸彈”,阻礙了QQ的正常使用。
2.快速防“彈”
由于QQ“炸彈”太多,騰訊公司也不得不考慮這些問題。因此在QQ 2004版本中發(fā)送消息的頻率需要有一定的間隔,否則QQ會(huì)友好地提示你“對(duì)不起,您說話太快了,坐下來,泡杯咖啡休息會(huì)吧”。然而“道高一尺 魔高一丈”,總有些惡意的騷擾者不斷地出現(xiàn)在你的陌生人名單中,不停地發(fā)消息”炸彈”騷擾你。針對(duì)這種人,我們可以這樣對(duì)付他:點(diǎn)擊“QQ菜單”一“系統(tǒng)設(shè)置”一“基本設(shè)置”在“綜合設(shè)置”里勾選“拒絕陌生人消息”,這樣所有陌生人發(fā)的消息你都收取不到了,當(dāng)然陌生人也就無從騷擾你了。而針對(duì)可能存在干你好友名單里的騷擾者,大家可以這樣設(shè)置:打開該好友的資料,切換到“好友設(shè)置”。勾選“不接收該好友發(fā)過來的任何消息”這樣他就設(shè)法再“炸”你了。
不過對(duì)于“身份認(rèn)證”這種消息“炸彈”,由于現(xiàn)在QQ身份認(rèn)證機(jī)制的局限性,在理論上我們是沒辦法完全防止的。我們只能采取設(shè)置成“拒絕任何人加為好友”這種“殲敵一千,自損八百”的手段。更有效的防范方法,還要靠騰訊公司對(duì)QQ進(jìn)行改進(jìn),我們只能期盼更新版的QQ早日到來了。
二、拒絕惡性“炸彈”
由干一般的“炸彈“防范措施比較簡(jiǎn)單,所以大家只要按照上述方法一般都能避免受到攻擊。但其中也有一些后果比較嚴(yán)重的”炸彈”,可以將你的QQ炸得“血肉橫飛”。比如在QQ2000C、QQ2003和QQ2003II中發(fā)現(xiàn)的由于Richedit代碼頁溢出所引起的嚴(yán)重安全漏洞,它可以使攻擊者發(fā)送一段惡意代碼就讓接收這段代碼的QQ自動(dòng)關(guān)閉。雖然隨后騰訊很快推出安全補(bǔ)丁解決了這一問題,但這種攻擊方式本身還是以簡(jiǎn)單而有效受到廣泛的承認(rèn)。對(duì)于這類攻擊 如果你還在使用以上老版本 ,防范方法就是盡快打上騰訊公司給出的不定, 或升級(jí)QQ。
三、另類攻擊
關(guān)于QQ還有一種另類攻擊方法,雖然危害不是很大,但也有必要告訴大家。相信嗎?在你的QQ所在文件夾下隨便寫個(gè)文件或者建立一個(gè)目錄,你的QQ就運(yùn)行不了啦!如果你不相信,就和我一起做個(gè)試驗(yàn)吧。
首先,點(diǎn)擊“我的電腦”進(jìn)入QQ所在的文件夾,默認(rèn)安裝在C:\ProgramFiles\Tencent下。然后點(diǎn)擊鼠標(biāo)右鍵,選“新建”一“文件夾”,將這個(gè)新建的文件夾命名為ws2_32.dll。現(xiàn)在,運(yùn)行QQ,輸入你的QQ密碼,猜猜會(huì)怎么樣?如果你使用的是版本號(hào)為QQ2000c系列的QQ,如0630、510、0305b、0305等各版本,QQ將無法啟動(dòng),而且沒有任何提示信息!如果使用的是版本號(hào)為QQ2000b系列的QQ,將會(huì)出現(xiàn)如圖3所示窗口,讓你輸入本地消息密碼(本地消息密碼可以在QQ的“系統(tǒng)參數(shù)”一“安全設(shè)置”中設(shè)置)。此時(shí),無論你.是否設(shè)置過本地消息密碼,而且不管你輸入的密碼是否正確,點(diǎn)擊“確定”都無法進(jìn)入QQ,會(huì)一直讓你輸入不止。點(diǎn)擊“取消”則退出QQ。怎么樣?無法進(jìn)入QQ了吧?
為什么會(huì)出現(xiàn)這種現(xiàn)象呢?原因是微軟把目錄和文件作為同級(jí)的東西來處理了,而QQ作為網(wǎng)絡(luò)通訊類的程序,必然要調(diào)用Winsock的一系列API,而這些API是存放在winsock.dH和ws2_32.dll文件里的。Window有個(gè)特點(diǎn),就是找動(dòng)態(tài)鏈接庫的時(shí)候,會(huì)先在應(yīng)用程序當(dāng)前目錄搜索,然后才會(huì)搜索Windows所在目錄,再次是system32和system所在目錄。而我們前面做的試驗(yàn)正是利用了這個(gè)特點(diǎn),在QQ所在目錄中建立一個(gè)名字為ws2—32.dll的“目錄”,系統(tǒng)會(huì)把它當(dāng)作一個(gè)文件優(yōu)先調(diào)用,而實(shí)際上ws2_32.dll是目錄而非QQ所需的文件,所以QQ就給“憋死了”!
上面我們是建立名為ws2_32.dll的目錄,,下面我們?cè)俳⒁粋€(gè)名為ws2_32.dll的文件,看看會(huì)怎么樣?結(jié)果完全相同,還是無法登陸QQ!這也證明了我們上面的分析是正確的。
最后,再告訴大家一個(gè)好方法:如果有人在QQ上不斷地用語言侮辱你,在忍無可忍時(shí),可以點(diǎn)擊對(duì)方的頭像,然后選擇“傳送文件”,發(fā)送給對(duì)方一個(gè)長(zhǎng)度為0字節(jié)的文件(用記事本新建一個(gè)文件,什么都不輸入,保存退出,即可得到一個(gè)長(zhǎng)度為0的文件),之后,你就不會(huì)看到他喋喋不休的廢話了,因?yàn)樗腝Q已經(jīng)崩潰了!要提醒大家的是不要亂用此方法,當(dāng)心進(jìn)入別人的“黑名單”哦。
木馬防范技巧
1、QQ中防范木馬新方法
大家知道,目前黑客工具實(shí)在是太多了,木馬就是其中之一,特別是針對(duì)QQ的木馬就更是數(shù)不勝數(shù)了。那么有什么辦法避免木馬記錄我們輸入的密碼呢?這里推薦一個(gè)小方法,可以使你的QQ密碼安全許多!具體方法是:假如你的QQ密碼是5009,在輸入時(shí)最后不直接輸入該密碼,這樣直接輸入會(huì)被直接記錄下來。你可以先輸入508,然后把光標(biāo)移到8后面再按0,這樣你輸入的密碼依然是5008,但在木馬看來你輸入的就是5080,一字之差,謬之千里。這樣你的QQ密碼就安全多了!
2、使用中文做密碼
打開記事本,把你要作為密碼的中文寫入其中,用鼠標(biāo)右鍵點(diǎn)擊屏幕右下角的QQ圖標(biāo),在彈出菜單中選“個(gè)人設(shè)定”,此時(shí)會(huì)彈出“修改用戶資料”對(duì)話框,點(diǎn)擊其中的“網(wǎng)絡(luò)安全”,選“修改密碼”,輸入舊口令,在“新口令”欄中把記事本里的中文密碼粘貼進(jìn)去就可以了。要注意的是:一個(gè)中文占兩個(gè)字符的空間,QQ最大支持16位密碼,所以你的中文密碼不能超過8個(gè)字。
3、利用QQ注冊(cè)向?qū)Р呻[身登錄
首先打開QQ登錄框選擇“注冊(cè)向?qū)?amp;rdquo;填好號(hào)碼和密碼,點(diǎn)擊兩下“下一步”這時(shí)你看見登錄框頁面—亡有一個(gè)“會(huì)員功能”的選項(xiàng)。把“使用HTTP協(xié)議登錄(僅限會(huì)員使用)”前面打個(gè)小勾,然后在彈出的使用HTTP協(xié)議確認(rèn)界面中點(diǎn)擊“選擇”,這時(shí)再點(diǎn)擊“下一步”后顯示“已將您的好友列表讀取到本地,點(diǎn)擊完成啟動(dòng)QQ”,接著卻彈出一個(gè)“登錄失敗”的警告對(duì)話框,上面寫著“您不是會(huì)員,不能使用HTTP代理功能”。不要管它,點(diǎn)擊“OK”,這時(shí)候看見右下角任務(wù)欄的小QQ是灰色的離線狀態(tài),雙擊彈出,在QQ主界面左下角打開“QQ2000”主菜單按鈕,選擇“系統(tǒng)參數(shù)”選項(xiàng),在“會(huì)員功能”里,把“使用HTTP協(xié)議登錄”前面的勾去掉,如圖2所示,然后,點(diǎn)擊“確定’’。再單擊QQ小企鵝,選擇“隱身”狀態(tài)。出現(xiàn)一個(gè)錯(cuò)誤提示符,不要理它;點(diǎn)“確定”,再次選擇隱身登錄看,QQ已經(jīng)隱身登錄了。
歡迎閱讀以下相關(guān)文章:
1.QQ病毒查殺完全手冊(cè)
2.七點(diǎn)常見QQ網(wǎng)絡(luò)騙術(shù) 必備技巧
3.QQ安全軟件 保護(hù)你的QQ安全
4.QQ常用技巧
5.如何查找攻擊網(wǎng)站的CC攻擊IP
6.各種計(jì)算機(jī)病毒分類介紹