QQ病毒查殺完全手冊(cè)

　　清除方法

　　(1)打開任務(wù)管理器，結(jié)束掉RUNDLL和SYSEDIT32進(jìn)程。

　　(2)刪除系統(tǒng)文件夾(Win9_通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.e_e和sysedit32.e_e的文件(文件大小為1781752字節(jié))。

　　(3)打開注冊(cè)表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.e_e\"的鍵值?；謴?fù)HKEY_CLASSES_ROOTt_tfileshellopencommand的默認(rèn)鍵值為Notepad %1。(其中%windowssystem%為Windows的系統(tǒng)文件夾)

　　(4)若根目錄下存在文件setup.t_t或mima.t_t,將其刪除。

　　變種第二病毒特征　　該木馬程序被包裝在一個(gè)名為s.eml的郵件中，并且利用了Iframe漏洞。當(dāng)沒有打補(bǔ)丁的用戶瀏覽含有該郵件的網(wǎng)頁時(shí)，郵件中的木馬程序(Hack.e_e)就會(huì)自動(dòng)運(yùn)行。

　　木馬程序被運(yùn)行后會(huì)：

　　1、復(fù)制自身到Windows系統(tǒng)目錄(通常為windowssystem)下，改名為E_plorer.e_e。由于它和Windows目錄下的E_plorer文件同名，因此會(huì)使用戶誤認(rèn)為這是一個(gè)正常的系統(tǒng)文件。

　　2、修改注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Intarnet="%windowssystem%E_plorer.e_e",使木馬程序可以在開機(jī)后自動(dòng)運(yùn)行。(其中%windowssystem%為Windows的系統(tǒng)目錄)

　　3、該木馬程序會(huì)通過QQ的“發(fā)送消息”窗口給QQ用戶的網(wǎng)友發(fā)送如下信息“http://ajim.delphibbs.com去看看，很好看的”，當(dāng)用戶點(diǎn)擊該網(wǎng)址瀏覽時(shí)，木馬程序就會(huì)被再次激活，從而使該木馬通過QQ聊天工具不斷地傳播自己。

　　清除方法：

　　(1)打開任務(wù)管理器，結(jié)束掉位于下面的那個(gè)E_plorer進(jìn)程，然后刪除系統(tǒng)目錄下的木馬程序E_plorer.e_e?；蛘咧匦聠?dòng)到DOS下到system目錄直接刪除該木馬程序。

　　(2)打開注冊(cè)表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為E_plorer的鍵值?！　∽兎N第三病毒特征

　　該病毒運(yùn)行后會(huì)：

　　1、復(fù)制兩個(gè)自己的拷貝到Windows的系統(tǒng)目錄(Win9_通常為Windowssystem,WinNt通常為WinNtsystem32)下，并分別更名為rundll.e_e和sysedit32.e_e。

　　2、修改注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.e_e"，使木馬程序在開機(jī)后自動(dòng)運(yùn)行(其中%windowssystem%為Windows的系統(tǒng)目錄)。

　　3、修改注冊(cè)表，修改HKEY_CLASSES_ROOTt_tfileshellopencommand的默認(rèn)鍵值為%windowssystem%sysedit32.e_e，關(guān)聯(lián)記事本，使用戶打開t_t文件時(shí)木馬程序能獲得運(yùn)行機(jī)會(huì)。

　　4、修改注冊(cè)表，修改IE瀏覽器的默認(rèn)頁，開始頁，起始頁。

　　5、該木馬會(huì)通過QQ程序向其它的QQ用戶發(fā)送“http://ontimer.spedia.net，你快去看看”的消息，誘導(dǎo)用戶瀏覽含有惡意代碼的網(wǎng)頁。

　　6、該木馬還會(huì)嘗試盜取QQ用戶的密碼并將其發(fā)送至指定的郵箱。

　　清除方法：

　　(1)打開任務(wù)管理器，結(jié)束掉RUNDLL和SYSEDIT32進(jìn)程。

　　(2)刪除系統(tǒng)文件夾(Win9_通常為Windows\system,WinNt通常為WinNt\system32)下名為RUNDLL.e_e和sysedit32.e_e的文件(文件大小為1781752字節(jié))。

　　(3)打開注冊(cè)表編輯器，刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名為intarnet=%windowssystem%\rundll.e_e\"的鍵值?；謴?fù)HKEY_CLASSES_ROOT\t_tfile\shell\open\command的默認(rèn)鍵值為Notepad %1。(其中%windowssystem%為Windows的系統(tǒng)文件夾)

　　(4)恢復(fù)IE的設(shè)置。打開注冊(cè)表編輯器，恢復(fù)HKEY_LOCAL_MACHINE\Software\Microsoft\Internet E_plorer\Main\Start Page，HKEY_LOCAL_MACHINE\Software\Microsoft\Internet E_plorer\Main\Default_Page_URL，HKEY_LOCAL_MACHINE\Software\Microsoft\Internet E_plorer\Main\Local Page的設(shè)置為原來的內(nèi)容。

　　變種第四病毒特征

　　該木馬程序用Delphi編寫，并用UP_進(jìn)行了壓縮，但該程序需要用戶的機(jī)器上安裝了Delphi的動(dòng)態(tài)庫才能運(yùn)行。該程序具有同“愛情森林”的第一個(gè)版本相同的特征，因此極有可能是病毒作者對(duì)“愛情森林”的第一個(gè)版本重新編譯后生成的。木馬程序被運(yùn)行后會(huì)：

　　1、復(fù)制自身到Windows操作系統(tǒng)的system目錄(通常為windowssystem)下，并改名為E_plorer.e_e。由于它和Windows目錄下的E_plorer文件同名，因此會(huì)迷惑用戶，使用戶誤認(rèn)為這是一個(gè)正常的系統(tǒng)文件。

　　2、修改注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值E_plorer="%windowssystem%E_plorer.e_e",使木馬程序可以在開機(jī)后自動(dòng)運(yùn)行。(其中%windowssystem%為Windows的系統(tǒng)目錄)

　　3、該木馬程序還會(huì)在站點(diǎn)http://orchid.diy.163.com/下載文件update.e_e，并執(zhí)行下載下來的程序，進(jìn)行其它的破壞活動(dòng)。

　　清除方法

　　(1)先打開任務(wù)管理器，結(jié)束掉位于下面的那個(gè)E_plorer進(jìn)程，然后刪除系統(tǒng)目錄下的木馬程序E_plorer.e_e。或者重新啟動(dòng)到DOS下到system目錄直接刪除該木馬程序。

　　(2)打開注冊(cè)表編輯器，刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下名為E_plorer的鍵值

　　“QQ炸彈”防護(hù)

　　一、拒絕消息“炸彈”

　　消息“炸彈”攻擊可能是“炸彈”攻擊中最常見的。它依靠在很短的時(shí)間間隔內(nèi)發(fā)送大量信息來騷擾用戶。因?yàn)闊o論騰訊公司如何在QQ安全問題上進(jìn)行改進(jìn)，最終它所實(shí)現(xiàn)的主要還是點(diǎn)對(duì)點(diǎn)的聊天交流。如果騰訊公司在設(shè)計(jì)QQ時(shí)將兩次發(fā)送消息的時(shí)間間隔設(shè)置得太長(zhǎng) 對(duì)于用戶正常的聊天就可能會(huì)造成影響.而如果太短，則消息”炸彈”就有了生存之地。因此從這個(gè)角度來說，只要能發(fā)消息 消息”炸彈”就不可能停止。話說回來，適當(dāng)減少被消息“炸

　　彈”轟炸的方法還是有的，下面咱們就一起來看看。

　　1.原理分析

　　QQ消息“炸彈”原理其實(shí)比較簡(jiǎn)單：當(dāng)用戶切換到”聊天模式”時(shí)，QQ消息“炸彈“程序通過調(diào)用函數(shù)等方式搜索到QQ聊天窗體及文本窗體等程序句柄 然后控制其自動(dòng)發(fā)送消息。由于發(fā)消息時(shí)間間隔很短，使人應(yīng)接不暇，最終形成了“炸彈”，阻礙了QQ的正常使用。

　　2.快速防“彈”

　　由于QQ“炸彈”太多，騰訊公司也不得不考慮這些問題。因此在QQ 2004版本中發(fā)送消息的頻率需要有一定的間隔，否則QQ會(huì)友好地提示你“對(duì)不起，您說話太快了，坐下來，泡杯咖啡休息會(huì)吧”。然而“道高一尺 魔高一丈”，總有些惡意的騷擾者不斷地出現(xiàn)在你的陌生人名單中，不停地發(fā)消息”炸彈”騷擾你。針對(duì)這種人，我們可以這樣對(duì)付他：點(diǎn)擊“QQ菜單”一“系統(tǒng)設(shè)置”一“基本設(shè)置”在“綜合設(shè)置”里勾選“拒絕陌生人消息”，這樣所有陌生人發(fā)的消息你都收取不到了，當(dāng)然陌生人也就無從騷擾你了。而針對(duì)可能存在干你好友名單里的騷擾者，大家可以這樣設(shè)置：打開該好友的資料，切換到“好友設(shè)置”。勾選“不接收該好友發(fā)過來的任何消息”這樣他就設(shè)法再“炸”你了。

　　不過對(duì)于“身份認(rèn)證”這種消息“炸彈”，由于現(xiàn)在QQ身份認(rèn)證機(jī)制的局限性，在理論上我們是沒辦法完全防止的。我們只能采取設(shè)置成“拒絕任何人加為好友”這種“殲敵一千，自損八百”的手段。更有效的防范方法，還要靠騰訊公司對(duì)QQ進(jìn)行改進(jìn)，我們只能期盼更新版的QQ早日到來了。

　　二、拒絕惡性“炸彈”

　　由干一般的“炸彈“防范措施比較簡(jiǎn)單，所以大家只要按照上述方法一般都能避免受到攻擊。但其中也有一些后果比較嚴(yán)重的”炸彈”，可以將你的QQ炸得“血肉橫飛”。比如在QQ2000C、QQ2003和QQ2003II中發(fā)現(xiàn)的由于Richedit代碼頁溢出所引起的嚴(yán)重安全漏洞，它可以使攻擊者發(fā)送一段惡意代碼就讓接收這段代碼的QQ自動(dòng)關(guān)閉。雖然隨后騰訊很快推出安全補(bǔ)丁解決了這一問題，但這種攻擊方式本身還是以簡(jiǎn)單而有效受到廣泛的承認(rèn)。對(duì)于這類攻擊 如果你還在使用以上老版本 ，防范方法就是盡快打上騰訊公司給出的不定， 或升級(jí)QQ。

　　三、另類攻擊

　　關(guān)于QQ還有一種另類攻擊方法，雖然危害不是很大，但也有必要告訴大家。相信嗎?在你的QQ所在文件夾下隨便寫個(gè)文件或者建立一個(gè)目錄，你的QQ就運(yùn)行不了啦!如果你不相信，就和我一起做個(gè)試驗(yàn)吧。

　　首先，點(diǎn)擊“我的電腦”進(jìn)入QQ所在的文件夾，默認(rèn)安裝在C：\ProgramFiles\Tencent下。然后點(diǎn)擊鼠標(biāo)右鍵，選“新建”一“文件夾”，將這個(gè)新建的文件夾命名為ws2_32.dll?，F(xiàn)在，運(yùn)行QQ，輸入你的QQ密碼，猜猜會(huì)怎么樣?如果你使用的是版本號(hào)為QQ2000c系列的QQ，如0630、510、0305b、0305等各版本，QQ將無法啟動(dòng)，而且沒有任何提示信息!如果使用的是版本號(hào)為QQ2000b系列的QQ，將會(huì)出現(xiàn)如圖3所示窗口，讓你輸入本地消息密碼(本地消息密碼可以在QQ的“系統(tǒng)參數(shù)”一“安全設(shè)置”中設(shè)置)。此時(shí)，無論你.是否設(shè)置過本地消息密碼，而且不管你輸入的密碼是否正確，點(diǎn)擊“確定”都無法進(jìn)入QQ，會(huì)一直讓你輸入不止。點(diǎn)擊“取消”則退出QQ。怎么樣?無法進(jìn)入QQ了吧?

　　為什么會(huì)出現(xiàn)這種現(xiàn)象呢?原因是微軟把目錄和文件作為同級(jí)的東西來處理了，而QQ作為網(wǎng)絡(luò)通訊類的程序，必然要調(diào)用Winsock的一系列API，而這些API是存放在winsock.dH和ws2_32.dll文件里的。Window有個(gè)特點(diǎn)，就是找動(dòng)態(tài)鏈接庫的時(shí)候，會(huì)先在應(yīng)用程序當(dāng)前目錄搜索，然后才會(huì)搜索Windows所在目錄，再次是system32和system所在目錄。而我們前面做的試驗(yàn)正是利用了這個(gè)特點(diǎn)，在QQ所在目錄中建立一個(gè)名字為ws2—32.dll的“目錄”，系統(tǒng)會(huì)把它當(dāng)作一個(gè)文件優(yōu)先調(diào)用，而實(shí)際上ws2_32.dll是目錄而非QQ所需的文件，所以QQ就給“憋死了”!

　　上面我們是建立名為ws2_32.dll的目錄，，下面我們?cè)俳⒁粋€(gè)名為ws2_32.dll的文件，看看會(huì)怎么樣?結(jié)果完全相同，還是無法登陸QQ!這也證明了我們上面的分析是正確的。

　　最后，再告訴大家一個(gè)好方法：如果有人在QQ上不斷地用語言侮辱你，在忍無可忍時(shí)，可以點(diǎn)擊對(duì)方的頭像，然后選擇“傳送文件”，發(fā)送給對(duì)方一個(gè)長(zhǎng)度為0字節(jié)的文件(用記事本新建一個(gè)文件，什么都不輸入，保存退出，即可得到一個(gè)長(zhǎng)度為0的文件)，之后，你就不會(huì)看到他喋喋不休的廢話了，因?yàn)樗腝Q已經(jīng)崩潰了!要提醒大家的是不要亂用此方法，當(dāng)心進(jìn)入別人的“黑名單”哦。

　　木馬防范技巧

　　1、QQ中防范木馬新方法

　　大家知道，目前黑客工具實(shí)在是太多了，木馬就是其中之一，特別是針對(duì)QQ的木馬就更是數(shù)不勝數(shù)了。那么有什么辦法避免木馬記錄我們輸入的密碼呢?這里推薦一個(gè)小方法，可以使你的QQ密碼安全許多!具體方法是：假如你的QQ密碼是5009，在輸入時(shí)最后不直接輸入該密碼，這樣直接輸入會(huì)被直接記錄下來。你可以先輸入508，然后把光標(biāo)移到8后面再按0，這樣你輸入的密碼依然是5008，但在木馬看來你輸入的就是5080，一字之差，謬之千里。這樣你的QQ密碼就安全多了!

　　2、使用中文做密碼

　　打開記事本，把你要作為密碼的中文寫入其中，用鼠標(biāo)右鍵點(diǎn)擊屏幕右下角的QQ圖標(biāo)，在彈出菜單中選“個(gè)人設(shè)定”，此時(shí)會(huì)彈出“修改用戶資料”對(duì)話框，點(diǎn)擊其中的“網(wǎng)絡(luò)安全”，選“修改密碼”，輸入舊口令，在“新口令”欄中把記事本里的中文密碼粘貼進(jìn)去就可以了。要注意的是：一個(gè)中文占兩個(gè)字符的空間，QQ最大支持16位密碼，所以你的中文密碼不能超過8個(gè)字。

　　3、利用QQ注冊(cè)向?qū)Р呻[身登錄

　　首先打開QQ登錄框選擇“注冊(cè)向?qū)?amp;rdquo;填好號(hào)碼和密碼，點(diǎn)擊兩下“下一步”這時(shí)你看見登錄框頁面—亡有一個(gè)“會(huì)員功能”的選項(xiàng)。把“使用HTTP協(xié)議登錄(僅限會(huì)員使用)”前面打個(gè)小勾，然后在彈出的使用HTTP協(xié)議確認(rèn)界面中點(diǎn)擊“選擇”，這時(shí)再點(diǎn)擊“下一步”后顯示“已將您的好友列表讀取到本地，點(diǎn)擊完成啟動(dòng)QQ”，接著卻彈出一個(gè)“登錄失敗”的警告對(duì)話框，上面寫著“您不是會(huì)員，不能使用HTTP代理功能”。不要管它，點(diǎn)擊“OK”，這時(shí)候看見右下角任務(wù)欄的小QQ是灰色的離線狀態(tài)，雙擊彈出，在QQ主界面左下角打開“QQ2000”主菜單按鈕，選擇“系統(tǒng)參數(shù)”選項(xiàng)，在“會(huì)員功能”里，把“使用HTTP協(xié)議登錄”前面的勾去掉，如圖2所示，然后，點(diǎn)擊“確定’’。再單擊QQ小企鵝，選擇“隱身”狀態(tài)。出現(xiàn)一個(gè)錯(cuò)誤提示符，不要理它;點(diǎn)“確定”，再次選擇隱身登錄看，QQ已經(jīng)隱身登錄了。

歡迎閱讀以下相關(guān)文章：

1.QQ病毒查殺完全手冊(cè)

2.七點(diǎn)常見QQ網(wǎng)絡(luò)騙術(shù) 必備技巧

3.QQ安全軟件 保護(hù)你的QQ安全

4.QQ常用技巧

5.如何查找攻擊網(wǎng)站的CC攻擊IP

6.各種計(jì)算機(jī)病毒分類介紹