今天中午，小陌接到網友發來的mail，說其中了qq尾巴。兩個qq尾巴的網址為：QQ.5qt.net，4OO.net。中招用戶的qq上會自動加入“h**p://***.4OO.net 幫忙看看這個網站打不打的開?
這個網站送QQ秀的衣服了，h**p://***.QQ.5qt.net  一個QQ號可以申請10個QQ秀的衣服”等字樣。誘惑力也是非常大的。小陌對兩個網頁進行了初步分析，現給出分析報告：

      兩個網頁都分別冒充“QQ彩信頻道”，網頁結構與mydj2005的一樣。真正要打開的是test3.htm網頁，該網頁上含有leun.swf文件，里面含有一個js文件，通過js文件下載chm文件，釋放出一個downloader，木馬仍是“武漢男生2005”。由于網站的原因，小陌沒能下載到該網站上的樣本，所以目前還無法判斷是否為新版本的“武漢男生2005”，但從網友那邊反饋的情況來看，與mydj2005生成的木馬一樣。同時網頁上還含有“冰狐浪子”木馬，釋放出的#.exe文件（此乃傳奇木馬，毒霸報為Troj.Mir2.yi.76007）。

      小陌再次提醒廣大qq用戶小心。

      附上mydj2005的手工清理方法（以供參考）：

1. ctrl+alt+del，調出“任務管理器”，在“進程”中終止一個叫Explorer.exe的進程。終止后，桌面會暫時消失，不要慌張，這時只要在“任務管理器”的“文件”中點擊“新任務”，然后輸入explorer即可。

2. 刪除%windows%目錄下的sent.exe,bak.exe，%system%目錄下的down1.exe,down2.exe,down3.exe,whboy.exe,msapi.exe以及whboy.dll

3. win9x用戶：打開system.ini文件，將shell項修改為shell=Explorer.exe

    win2000/xp/2003用戶：打開注冊表編輯器（方法：開始，運行，輸入“regedit.exe”），然后定位到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon，在右面的板塊中選中shell鍵值，右擊修改，將“Explorer.exe %system%whboy.exe”修改為“Explorer.exe”即可。

附：%windows%為c:/windows（win9x/XP/2003）或c:/winnt（win2000）；
%system%為c:/windows/system（win9x）或c:/windows/system32（XP/2003）或c:/winnt/system32（win2000）