一、“QQ尾巴”病毒

病毒主要特征

這種病毒并不是利用QQ本身的漏洞進(jìn)行傳播。它其實(shí)是在某個(gè)網(wǎng)站首頁(yè)上嵌入了一段惡意代碼，利用IE的iFrame系統(tǒng)漏洞自動(dòng)運(yùn)行惡意木馬程序，從而達(dá)到侵入用戶系統(tǒng)，進(jìn)而借助QQ進(jìn)行垃圾信息發(fā)送的目的。用戶系統(tǒng)如果沒(méi)安裝漏洞補(bǔ)丁或沒(méi)把IE升級(jí)到最高版本，那么訪問(wèn)這些網(wǎng)站的時(shí)候其訪問(wèn)的網(wǎng)頁(yè)中嵌入的惡意代碼即被運(yùn)行，就會(huì)緊接著通過(guò)IE的漏洞運(yùn)行一個(gè)木馬程序進(jìn)駐用戶機(jī)器。然后在用戶使用QQ向好友發(fā)送信息的時(shí)候，該木馬程序會(huì)自動(dòng)在發(fā)送的消息末尾插入一段廣告詞，通常都是以下幾句中的一種。

QQ收到信息如下：

1.HoHo~~http://www.mm**.com剛才朋友給我發(fā)來(lái)的這個(gè)東東。你不看看就后悔哦，嘿嘿。也給你的朋友吧。

2.呵呵，其實(shí)我覺(jué)得這個(gè)網(wǎng)站真的不錯(cuò)，你看看http://www.ktv***.com/

3.想不想來(lái)點(diǎn)搖滾粗口舞曲，中華DJ第一站，網(wǎng)址告訴你http://www.qq33**.com.。不要告訴別人~哈哈，真正算得上是國(guó)內(nèi)最棒的DJ站點(diǎn)。

4.http//www.hao***.com幫忙看看這個(gè)網(wǎng)站打不打的開(kāi)。

5.http://ni***.126.com看看啊.我最近照的照片~才掃描到網(wǎng)上的。看看我是不是變了樣?

清除方法

1．在運(yùn)行中輸入MSconfig，如果啟動(dòng)項(xiàng)中有“Sendmess.exe”和“wwwo.exe”這兩個(gè)選項(xiàng)，將其禁止。在C：\WINDOWS一個(gè)叫qq32.INI的文件，文件里面是附在QQ后的那幾句廣告詞，將其刪除。轉(zhuǎn)到DOS下再將“Sendmess.exe”和“wwwo.exe”這兩個(gè)文件刪除。

2．安裝系統(tǒng)漏洞補(bǔ)丁

由病毒的播方式我們知道，“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的，即使不執(zhí)行病毒文件，病毒依然可以借由漏洞自動(dòng)執(zhí)行，達(dá)到感染的目的。因此應(yīng)該敢快下載IE的iFrame漏洞補(bǔ)丁。

二、QQ“緣”病毒

病毒特征：

該病毒用VB語(yǔ)言編寫(xiě)，采用ASPack壓縮，利用QQ消息傳播。運(yùn)行后會(huì)將IE默認(rèn)首頁(yè)改變?yōu)椋篐TTP://WWW.**115.COM/，如果你發(fā)現(xiàn)自己的IE首頁(yè)被修改成以上網(wǎng)址，就是被該病毒感染了。

病毒會(huì)利用QQ發(fā)送例如“今天在網(wǎng)上下了本電子書(shū)，書(shū)名叫《緣》，寫(xiě)得不錯(cuò)，而且書(shū)的作者的名字很巧…………點(diǎn)擊下面這個(gè)地址可以下載這本書(shū)”；“1937年12月13日，300000南京人民被侵華日軍集體大屠殺！！！所有的中國(guó)人都不應(yīng)忘記這個(gè)日子，從始至終日本人都沒(méi)有改變它們的野心!中華兒女要團(tuán)結(jié)自強(qiáng)牢記歷史，我們要時(shí)刻警惕日本人的野心，釣魚(yú)島是中國(guó)的領(lǐng)土!!!臺(tái)灣是中國(guó)不可分割的一部份!!!請(qǐng)你將此消息發(fā)給你QQ上的好友!”等消息，消息里的鏈接是病毒網(wǎng)址。

清除方法：

使用了下面的辦法將其徹底刪除。

找到下列文件:

C:\windows\system\noteped.exe

C:\windows\system\Taskmgr.exe

C:\Windows\noteped.exe

C:\Windwos\system32\noteped.exe

刪除掉:其中Taskmgr.exe要先打開(kāi)"window任務(wù)管理器",選中進(jìn)程"Taskmgr.exe",殺掉

注意:有兩個(gè)名字叫"Taskmgr.exe"進(jìn)程,一個(gè)是QQ病毒,一個(gè)是你剛才打開(kāi)的"Window認(rèn)為管理器"

然后到注冊(cè)表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"

找到"Taskmgr"刪除

如果你還不明白那請(qǐng)你先找到那幾個(gè)文件，然后再按下面步驟操作:

1.在任務(wù)欄上點(diǎn)擊鼠標(biāo)右鍵，選擇任務(wù)管理器

2.選擇進(jìn)程里的Taskmgr.exe，但我后來(lái)又測(cè)試也進(jìn)行名稱不一定是大寫(xiě)的，也有可能是小寫(xiě)，一般排在上面的一個(gè)是。

3.點(diǎn)擊開(kāi)始-運(yùn)行，輸入Regedit進(jìn)入注冊(cè)表

4.在注冊(cè)表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run，將Taskmgr"項(xiàng)刪除"。

刪除后重啟計(jì)算機(jī)，《緣》QQ病毒宣布徹底刪除。

另外提醒大家，盡快更新你的IE到IE6SP1這樣可以減少很多的IE被改機(jī)會(huì)。

近來(lái)網(wǎng)上出現(xiàn)一種叫做“QQ尾巴”的木馬病毒。該病毒會(huì)偷偷藏在你的系統(tǒng)中，當(dāng)你在使用ＱＱ的時(shí)候，它會(huì)自動(dòng)尋找QQ窗口，給在線上的QQ好友發(fā)送諸如“剛剛朋友給我發(fā)來(lái)的這個(gè)東東。你不看看要后悔哦--”之類的假消息，如果有人信以為真點(diǎn)擊該鏈接的話，將會(huì)感染上病毒，并且成為病毒的傳播源。

三、“QQ狩獵者”病毒

病毒特征：

1、在進(jìn)行QQ聊天時(shí)會(huì)在消息中加入信息"向你介紹一個(gè)好看的動(dòng)畫(huà)網(wǎng)：http://Flash2.533.net"

2、當(dāng)瀏覽帶毒網(wǎng)站時(shí)，會(huì)利用IE漏洞，嘗試新增sys文件和tmp文件的執(zhí)行關(guān)聯(lián)，并下載執(zhí)行病毒文件b.sys，如果IE已經(jīng)打上補(bǔ)丁，則會(huì)彈出一個(gè)插件對(duì)話框，引誘用戶安裝，安裝后會(huì)將自己安裝到%Windows%DownloadedProgramFiles文件夾中，文件名為"b.exe"，如果用戶拒絕安裝該插件，會(huì)不斷彈出對(duì)話框要求用戶安裝。

3、復(fù)制文件:

A、復(fù)制病毒體到%SystemRoot%文件夾中，文件名為"Rundll32.exe"；

B、復(fù)制病毒體為"C:\cmd.exe";

C、試圖復(fù)制病毒體到共享目錄中，名為"病毒專殺.exe"和"周杰倫演唱會(huì).exe"。

4、添加注冊(cè)表啟動(dòng)項(xiàng)，以隨機(jī)啟動(dòng)在注冊(cè)表的主鍵:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加以下鍵值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"

5、修改和新增以下文件關(guān)聯(lián)

A、修改.exe文件的關(guān)聯(lián)，每當(dāng)執(zhí)行exe文件時(shí)，即首先執(zhí)行病毒預(yù)先復(fù)制的病毒文件。在注冊(cè)表的主鍵:HKEY_CLASS_ROOT\exefile\shell\open\command修改如下鍵值：默認(rèn)="C;\cmd.exe%1&*"

B、新增.sys文件的執(zhí)行關(guān)聯(lián)，使得在瀏覽帶毒網(wǎng)站時(shí)執(zhí)行病毒文件b.sys在注冊(cè)表的主鍵:HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下鍵值：默認(rèn)="""%1""%*"

C、新增.tmp文件的執(zhí)行關(guān)聯(lián)在注冊(cè)表的主鍵:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下鍵值：默認(rèn)="""%1""%*"

6、試圖偷傳奇游戲的密碼,并通過(guò)自帶的郵件引擎以"mj25257758@263.sina.com"的名義發(fā)送到"scmsmj@tom.com"信箱中。

7、在Win2000、WinXP、Win2003系統(tǒng)中，系統(tǒng)文件"Rundll32.exe"就在系統(tǒng)目錄中，因而病毒會(huì)嘗試將該文件覆蓋，但這幾個(gè)系統(tǒng)都能自動(dòng)保護(hù)并恢復(fù)受到破壞的系統(tǒng)文件，因而病毒不能正常加載，但仍可以通過(guò)EXE關(guān)聯(lián)被加載.

清除方法:

A、關(guān)閉WindowsMe、WindowsXP、Windows2003的“系統(tǒng)還原”功能；

B、重新啟動(dòng)到安全模式下；

C、先將regedit.exe改名為regedit.com，再用資源管理器結(jié)束cmd.exe進(jìn)程，然后運(yùn)行regedit.com，將EXE關(guān)聯(lián)修改為""%1"%*"，再刪除以下文件:C:\cmd.exe、%Windows%\DownloadProgramFiles\b.exe。對(duì)于Win9x系統(tǒng)，還要?jiǎng)h除%SystemRoot%\Rundll32.exe，再到共享目錄中看有沒(méi)有"病毒專殺.exe"和"周杰倫演唱會(huì).exe"這兩個(gè)文件，文件大小為11184字節(jié)，如果有，將其刪除。

D、清理注冊(cè)表:

打開(kāi)注冊(cè)表，刪除主鍵HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open修改HKEY_CLASSES_ROOT\exefile\shell\open\command的鍵值為"%1"%*

防范措施：

不要輕易點(diǎn)擊QQ上的不明鏈接,不要安裝來(lái)歷不明的插件(如該病毒網(wǎng)站上所謂的"動(dòng)畫(huà)播放插件2.0")。

四、“武漢男生”病毒

病毒特性：

此病毒是“武漢男生”的一系列新變種，病毒發(fā)作后會(huì)利用QQ聊天工具進(jìn)行傳播，定時(shí)給QQ網(wǎng)友發(fā)送包含網(wǎng)址的信息來(lái)誘使用戶點(diǎn)擊，該網(wǎng)頁(yè)利用了IE的ObjectData漏洞下載并運(yùn)行病毒本身，該漏洞是由HTML中OBJECT的DATA標(biāo)簽引起的。對(duì)于DATA所標(biāo)記的URL，IE會(huì)根據(jù)服務(wù)器返回的HTTP頭來(lái)處理數(shù)據(jù)。如果HTTP頭中返回的URL類型Content-Type是Application/hta，那么該URL指定的文件就能夠執(zhí)行，無(wú)論IE設(shè)置的安全級(jí)別有多高。

該變種較明顯的特點(diǎn)是，病毒運(yùn)行后，除定時(shí)發(fā)給QQ網(wǎng)友同樣的網(wǎng)址外還會(huì)趁機(jī)盜取“傳奇”游戲的帳戶、密碼以及其他信息，并以郵件形式發(fā)給盜密碼者，還會(huì)結(jié)束多種反病毒軟件，以保護(hù)自身不被清除。

(1)如果點(diǎn)擊病毒網(wǎng)頁(yè)，將會(huì)顯示美女圖片，而同時(shí)彈出一個(gè)標(biāo)題為“asp空間”的不可見(jiàn)窗口。此網(wǎng)頁(yè)利用IE漏洞，下載并運(yùn)行l(wèi)eoexe.gif和leo.asp文件，其中l(wèi)eoexe.gif并不是圖像文件，而是exe類型的病毒體，leo.asp是病毒釋放器；

(2)病毒一旦運(yùn)行，將結(jié)束大部分殺毒軟件、防火墻以及某些病毒專殺工具；

(3)每隔一段時(shí)間給QQ網(wǎng)友發(fā)送信息

(4)病毒運(yùn)行后會(huì)復(fù)制自身到系統(tǒng)目錄下，文件名是updater.exe、Systary.exe、sysnot.exe,并在注冊(cè)表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加：

“windowsupdate”=“%安裝目錄%\system\updater.exe”%安裝目錄%是Windows系統(tǒng)的安裝目錄，在不同系統(tǒng)下該目標(biāo)表現(xiàn)可能不同，可能的有：c:\windows；c:\winnt等。

(5)修改文本文件（*.txt）關(guān)聯(lián)和可執(zhí)行文件關(guān)聯(lián)，直接指向病毒本身，如果用戶運(yùn)行任意的txt文件和exe文件都會(huì)激活病毒。

(6)病毒會(huì)在計(jì)算機(jī)中搜索傳奇游戲的帳戶、密碼以及其他信息，發(fā)送到指定的E-Mail信箱。

清除病毒

1、刪除病毒在系統(tǒng)目錄下釋放的病毒文件

2、刪除病毒在注冊(cè)表下生成的鍵值

3、運(yùn)行殺毒軟件，對(duì)病毒進(jìn)行全面清除

五、“愛(ài)情森林”病毒

（一）病毒特征

該木馬程序原始文件名為hack.exe，用Delphi編寫(xiě)，并用UPX進(jìn)行了壓縮。木馬程序被運(yùn)行后會(huì)：

1、復(fù)制自身到Windows操作系統(tǒng)的system目錄(通常為windowssystem)下，并改名為Explorer.exe。由于它和Windows目錄下的Explorer文件同名，因此會(huì)迷惑用戶，使用戶誤認(rèn)為這是一個(gè)正常的系統(tǒng)文件。

2、修改注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer.exe",使木馬程序可以在開(kāi)機(jī)后自動(dòng)運(yùn)行。（其中%windowssystem%為Windows的系統(tǒng)目錄）

3、該木馬程序還會(huì)在站點(diǎn)http://orchid.diy.163.com/下載文件update.exe，并執(zhí)行下載下來(lái)的程序，進(jìn)行其它的破壞活動(dòng)。

�牐犌宄�方法

�牐�

�牐�(1)先打開(kāi)任務(wù)管理器，結(jié)束掉位于下面的那個(gè)Explorer進(jìn)程，然后刪除系統(tǒng)目錄下的木馬程序Explorer.exe。或者重新啟動(dòng)到DOS下到system目錄直接刪除該木馬程序。

�牐�(2)打開(kāi)注冊(cè)表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。

�牐牐ǘ�）變種一病毒特征

該病毒運(yùn)行后會(huì)：

1、復(fù)制兩個(gè)自己的拷貝到Windows的系統(tǒng)目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下，并分別更名為rundll.exe和sysedit32.exe。

2、修改注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe"，使木馬程序在開(kāi)機(jī)后自動(dòng)運(yùn)行(其中%windowssystem%為Windows的系統(tǒng)目錄)。

3、修改注冊(cè)表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認(rèn)鍵值為%windowssystem%sysedit32.exe，關(guān)聯(lián)記事本，使用戶打開(kāi)txt文件時(shí)木馬程序能獲得運(yùn)行機(jī)會(huì)。

4、該木馬會(huì)通過(guò)QQ程序向其它的QQ用戶發(fā)送“http://sckiss.yeah.net，你快去看看”的消息，誘導(dǎo)用戶瀏覽含有惡意代碼的網(wǎng)頁(yè)。

5、該木馬還會(huì)嘗試盜取QQ用戶的密碼并將其發(fā)送至指定的郵箱。有趣的是，由于病毒作者使用了一個(gè)組件來(lái)發(fā)送郵件，因此當(dāng)木馬程序執(zhí)行發(fā)送郵件的操作時(shí)，該組件可能會(huì)彈出兩個(gè)對(duì)話框，其中一個(gè)的內(nèi)容為“220welcomtocoremailsystem(WithAnti-Spam)2.1”，另外一個(gè)對(duì)話框?yàn)椤癈annotopenfile.mima.txt”。

�牐犌宄�方法

�牐�

�牐�(1)打開(kāi)任務(wù)管理器，結(jié)束掉RUNDLL和SYSEDIT32進(jìn)程。

�牐�(2)刪除系統(tǒng)文件夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的文件（文件大小為1781752字節(jié)）。

�牐�(3)打開(kāi)注冊(cè)表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.exe\"的鍵值。恢復(fù)HKEY_CLASSES_ROOTtxtfileshellopencommand的默認(rèn)鍵值為Notepad%1。(其中%windowssystem%為Windows的系統(tǒng)文件夾)

�牐�(4)若根目錄下存在文件setup.txt或mima.txt,將其刪除。

（三）變種二病毒特征

�牐犜撃抉R程序被包裝在一個(gè)名為s.eml的郵件中，并且利用了Iframe漏洞。當(dāng)沒(méi)有打補(bǔ)丁的用戶瀏覽含有該郵件的網(wǎng)頁(yè)時(shí)，郵件中的木馬程序（Hack.exe）就會(huì)自動(dòng)運(yùn)行。

�牐犇抉R程序被運(yùn)行后會(huì)：

�牐�1、復(fù)制自身到Windows系統(tǒng)目錄（通常為windowssystem）下，改名為Explorer.exe。由于它和Windows目錄下的Explorer文件同名，因此會(huì)使用戶誤認(rèn)為這是一個(gè)正常的系統(tǒng)文件。

�牐�2、修改注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Intarnet="%windowssystem%Explorer.exe",使木馬程序可以在開(kāi)機(jī)后自動(dòng)運(yùn)行。（其中%windowssystem%為Windows的系統(tǒng)目錄）

�牐�3、該木馬程序會(huì)通過(guò)QQ的“發(fā)送消息”窗口給QQ用戶的網(wǎng)友發(fā)送如下信息“http://ajim.delphibbs.com去看看，很好看的”，當(dāng)用戶點(diǎn)擊該網(wǎng)址瀏覽時(shí)，木馬程序就會(huì)被再次激活，從而使該木馬通過(guò)QQ聊天工具不斷地傳播自己。

�牐犌宄�方法：

�牐�(1)打開(kāi)任務(wù)管理器，結(jié)束掉位于下面的那個(gè)Explorer進(jìn)程，然后刪除系統(tǒng)目錄下的木馬程序Explorer.exe。或者重新啟動(dòng)到DOS下到system目錄直接刪除該木馬程序。

�牐�(2)打開(kāi)注冊(cè)表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。

�牐牐ㄋ模┳兎N三病毒特征

該病毒運(yùn)行后會(huì)：

1、復(fù)制兩個(gè)自己的拷貝到Windows的系統(tǒng)目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下，并分別更名為rundll.exe和sysedit32.exe。

2、修改注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe"，使木馬程序在開(kāi)機(jī)后自動(dòng)運(yùn)行(其中%windowssystem%為Windows的系統(tǒng)目錄)。

3、修改注冊(cè)表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認(rèn)鍵值為%windowssystem%sysedit32.exe，關(guān)聯(lián)記事本，使用戶打開(kāi)txt文件時(shí)木馬程序能獲得運(yùn)行機(jī)會(huì)。

4、修改注冊(cè)表，修改IE瀏覽器的默認(rèn)頁(yè)，開(kāi)始頁(yè)，起始頁(yè)。

5、該木馬會(huì)通過(guò)QQ程序向其它的QQ用戶發(fā)送“http://ontimer.spedia.net，你快去看看”的消息，誘導(dǎo)用戶瀏覽含有惡意代碼的網(wǎng)頁(yè)。

6、該木馬還會(huì)嘗試盜取QQ用戶的密碼并將其發(fā)送至指定的郵箱。

�牐犌宄�方法：

�牐�(1)打開(kāi)任務(wù)管理器，結(jié)束掉RUNDLL和SYSEDIT32進(jìn)程。

�牐�(2)刪除系統(tǒng)文件夾(Win9x通常為Windows\\system,WinNt通常為WinNt\\system32)下名為RUNDLL.exe和sysedit32.exe的文件（文件大小為1781752字節(jié)）。

�牐�(3)打開(kāi)注冊(cè)表編輯器，刪除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名為intarnet=%windowssystem%\\rundll.exe\"的鍵值。恢復(fù)HKEY_CLASSES_ROOT\\txtfile\\shell\\open\\command的默認(rèn)鍵值為Notepad%1。(其中%windowssystem%為Windows的系統(tǒng)文件夾)

�牐�(4)恢復(fù)IE的設(shè)置。打開(kāi)注冊(cè)表編輯器，恢復(fù)HKEY_LOCAL_MACHINE\\Software\\Microsoft\\InternetExplorer\\Main\\StartPage，HKEY_LOCAL_MACHINE\\Software\\Microsoft\\InternetExplorer\\Main\\Default_Page_URL，HKEY_LOCAL_MACHINE\\Software\\Microsoft\\InternetExplorer\\Main\\LocalPage的設(shè)置為原來(lái)的內(nèi)容。

�牐牐ㄎ澹┳兎N四病毒特征

該木馬程序用Delphi編寫(xiě)，并用UPX進(jìn)行了壓縮，但該程序需要用戶的機(jī)器上安裝了Delphi的動(dòng)態(tài)庫(kù)才能運(yùn)行。該程序具有同“愛(ài)情森林”的第一個(gè)版本相同的特征，因此極有可能是病毒作者對(duì)“愛(ài)情森林”的第一個(gè)版本重新編譯后生成的。木馬程序被運(yùn)行后會(huì)：

1、復(fù)制自身到Windows操作系統(tǒng)的system目錄(通常為windowssystem)下，并改名為Explorer.exe。由于它和Windows目錄下的Explorer文件同名，因此會(huì)迷惑用戶，使用戶誤認(rèn)為這是一個(gè)正常的系統(tǒng)文件。

2、修改注冊(cè)表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer.exe",使木馬程序可以在開(kāi)機(jī)后自動(dòng)運(yùn)行。（其中%windowssystem%為Windows的系統(tǒng)目錄）

3、該木馬程序還會(huì)在站點(diǎn)http://orchid.diy.163.com/下載文件update.exe，并執(zhí)行下載下來(lái)的程序，進(jìn)行其它的破壞活動(dòng)。

�牐犌宄�方法

�牐�(1)先打開(kāi)任務(wù)管理器，結(jié)束掉位于下面的那個(gè)Explorer進(jìn)程，然后刪除系統(tǒng)目錄下的木馬程序Explorer.exe。或者重新啟動(dòng)到DOS下到system目錄直接刪除該木馬程序。

�牐�(2)打開(kāi)注冊(cè)表編輯器，刪除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名為Explorer的鍵值

六、“QQ女友”病毒

病毒特征：

利用QQ發(fā)送誘惑信息，導(dǎo)致用戶上當(dāng)。病毒發(fā)送一些誘惑新的文字和鏈接給在線的好友，致使不明真相的用戶上當(dāng)。

1.復(fù)制自己到系統(tǒng)目錄：

%SYSDIR%\internet.exe

%SYSDIR%\svch0st.exe

2.修改如下注冊(cè)表鍵值病毒自啟動(dòng)的伎倆>：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"NetworkAssociates,Inc."="INTERNET.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan"="%SYSDIR%\SVCH0ST.EXE"

3.病毒運(yùn)行后將建立一個(gè)HTTP服務(wù)器，監(jiān)聽(tīng)TCP端口20808

該功能將響應(yīng)遠(yuǎn)程的下載請(qǐng)求，將本地的病毒文件復(fù)制到遠(yuǎn)程機(jī)器。

4.病毒搜索QQ聊天軟件，向在線的好友發(fā)送誘惑信息，內(nèi)容如下：

“你是那樣地美，美得象一首抒情詩(shī)。你全身充溢著少女的純情和青春的風(fēng)采。

留給我印象最深的是你那雙湖水般清澈的眸子，以及長(zhǎng)長(zhǎng)的、一閃一閃的睫毛。

像是探詢，像是關(guān)切，像是問(wèn)候。

這是你需要的東西:

下載地址1

http://*.*.*.*：:20808//%DRIVE%c:\\filename.exe

下載地址2

http://*.*.*.*：:20808//%DRIVE%c:\\filename.exe”

上面的內(nèi)容頭部也可能為下列之一：

其實(shí)，我最先認(rèn)識(shí)你是在照片上。照片上的你托腮凝眸，若有所思。那份溫柔、那份美感、那份嫵媚，使我久久難以忘懷

遠(yuǎn)遠(yuǎn)地，我目送你的背影，你那用一束大紅色綢帶扎在腦后的黑發(fā)，宛如幽靜的月夜里從山澗中傾瀉下來(lái)的一壁瀑布。

你蹦蹦跳跳地走進(jìn)來(lái)，一件紅尼大衣，緊束著腰帶，顯得那么輕盈，那么矯健，簡(jiǎn)直就像天邊飄來(lái)一朵紅云。

你笑起來(lái)的樣子最為動(dòng)人，兩片薄薄的嘴唇在笑，長(zhǎng)長(zhǎng)的眼睛在笑

春花秋月，是詩(shī)人們歌頌的情景，可是我對(duì)于它，卻感到十分平凡。只有你嵌著梨渦的笑容，才是我眼中最美的偶象。

你其有點(diǎn)像天上的月亮，也像那閃爍的星星，可惜我不是詩(shī)人，否則，當(dāng)寫(xiě)一萬(wàn)首詩(shī)來(lái)形容你的美麗。

你是一尊象牙雕刻的女神，大方、端莊、溫柔、姻靜，無(wú)一不使男人深深崇拜。在風(fēng)吹干你的散發(fā)時(shí)，我簡(jiǎn)直著魔了：在閃閃發(fā)光的披肩柔發(fā)中，在淡淡入鬢的蛾眉問(wèn)，在碧水漓漓的眼睛里……你竟是如此美麗可人！

你是花叢中的蝴蝶，是百合花中的蓓蕾。無(wú)論什么衣服穿到你的身上，總是那么端莊、好看。

你那瓜子形的形（編者注：該字疑為病毒作者筆誤），那么白凈，彎彎的一雙眉毛，那么修長(zhǎng)；水汪汪的一對(duì)眼睛，那么明亮！

其中*.*.*.*為本機(jī)地址，%filename%為下列之一：

"c:\setup.exe"

"c:\hello.exe"

"c:\flash.com"

"c:\123456.exe"

"c:\pass.exe"

"c:\game.exe"

"c:\my_photo.exe"

"c:\update.exe"

"c:\MP3.exe"

"c:\666666.exe"

這些都是病毒本身。

5.鑒于該病毒的特殊性，尤其是女性的使用QQ的用戶，請(qǐng)看到上述信息時(shí)請(qǐng)不要上當(dāng)。

清除方法

（1）打開(kāi)任務(wù)管理器查看是否存在進(jìn)程名為:INTERNET.EXE或SVCH0ST.EXE,終止它

（2）打開(kāi)注冊(cè)表編輯器,刪除如下鍵值<如果存在的話>:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"NetworkAssociates,Inc."="INTERNET.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan"="%SYSDIR%\SVCH0ST.EXE"

（3）將%WINSYS%目錄下的文件:SVCH0ST.EXE和SVCH0ST.EXE刪除

注:%WINSYS%位Windows系統(tǒng)的安裝目錄，在win9x,winme,winxp下默認(rèn)為:C:\WINDOWS\SYSTEM,win2k下默認(rèn)為:C:\WINNT\SYSTEM32。