1、QQ木马变种(Trojan.QQpass7)病毒档案 警惕程度:★★★★ 发作时间:随机 病毒类型:木马病毒 传播方式:网络 依赖系统: Win9X/NT/2000/XP 感染对象:硬盘文件夹 病毒介绍: 2003 年4月8日,瑞星全球反病毒监测网在国内率先截获“QQ木马”病毒的一个最新变种,并将之命名为:“QQ木马变种(Trojan.QQpass7)”。该 病毒除了盗取用户的QQ密码外,还能与外部黑客程序沟通,导致用户计算机的信息被泄密。最重要的是该病毒会在硬盘上的所有文件夹中都拷贝一份病毒复本,浪 费大量硬盘空间,并且,该病毒还会利用启动光盘的技术,在每个分区的根目录下建立一个名为:autorun.ini的文件,只要用户查看被感染分区,病毒 就会立即运行。 病毒的发现与清除: 此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒,可以按照下面所说的方法手工清除“QQ木马变种(Trojan.QQpass7)”病毒。 1. 该病毒会在C盘根目录下建立一个名:DebugFi.txt的文件,可以直接将该文件删除。 2. 该病毒桧利用自启动光盘技术,在每一个硬盘分区下建立一个名为:autorun.ini的文件,可以直接将该方件删除。 3. 该病毒会搜索硬盘的C-Y分区,在找到的每一个文件夹中都放入一个随机命名的病毒复本,用户可以查看一下经常接触的目录,看是否有新产生的可疑文件,如果可以确认该文件的来源,则可以直接将该病毒文件删除,如果不能确认,则最好用相关杀毒软件的最新版本进行清除。 4. 病 毒会修改注册表中的:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\项,创建指向病毒路径的 键值,键值与路径不定,熟悉注册表的用户可以用REGEDIT等注册表编辑工具进行查看,看是否有可疑键值,如果有可以直接将该键值删除,以防止病毒自启 动。 用户如果发现上述情况该很有可能是中了“QQ木马变种(Trojan.QQpass7)”病毒,可以按照上述方法手工清除该病毒。 2、爱情森林C版病毒 “爱情森林”病毒又出C版,请用户及时准备,以防不测。 病毒类型:木马病毒 发作时间:随机 传播方式:网络 感染对象:网络 警惕程度:★★★★ 病毒介绍: 爱 情森林病毒的又一个新变种!此病毒运行时建立5个病毒复本:WIN386.SWP、WINUPDATE.EXE、INTERNETS.EXE、 WINVER.EXE、HOSTS,并将系统的交换文件替换掉,而且还伪装成系统的更新文件躲在启动目录中。另外,病毒会将可执行的关联改成病毒体,这样 用户运行其他程序时会直接运行病毒体,而且有些程序运行时还会被此病毒删除。 此病毒有如下特征: 1. 建立5个病毒副本,系统启动后病毒会自动运行: C:\WINDOWS\WIN386.SWP C:\WINDOWS\START MENU\PROGRAMS\WINUPDATE.EXE C:\WINDOWS\SYSTEM32\INTERNETS.EXE C:\WINDOWS\WINUPDATE.EXE C:\WINDOWS\WINVER.EXE C:\WINDOWS\HOSTS。 2. 将注册表中的HKCR\exefile\shell\open\command项的内容改为:C:\WINDOWS\winupdate.exe %1 %*",这样用户双击任何程序都会不启动程序而直接启动病毒。 3. 有时一些启动的应用程序还会被此病毒莫名其妙地删除。 3、QQ伪装专家病毒 于10月18日出现的新型恶性QQ病毒“QQ伪装专家”(Trojan.QQcamoufleur)虽然已经被瑞星公司捕获,但鉴于这个病毒有出现新版本的可能,所以广大用户还是应该做好防毒准备。 病毒类型:木马病毒 发作时间:随机 传播方式:网络 感染对象:网络 警惕程度:★★★★ 病毒介绍: 此 病毒用高级语言编写并用aspack工具压缩。病毒会伪装成真正的QQ程序启动,并在桌面上建立一个名为:“QQ2000b”的快捷方式,而真正QQ的快 捷方式是:“腾讯QQ”。病毒运行时会将用户的QQ号码与密码偷偷发送到指定邮箱。病毒有极强的网络传染能力,如果发现局域网中有共享目录,便将自身拷贝 到共享目录下,诱使用户运行。病毒会通过邮件系统传播。建立标题为:“这是我的照片”,附件为:“photo.gif.exe”的病毒邮件。另外,病毒还 会攻击打印机。一旦检测到打印机的存在,病毒便会不断地通过打印机大量打印病毒代码,损耗打印机,浪费纸张。 病毒一般会有如下特征: 1. 使打印机无故打印乱码。 2. 在桌面上建立一个名为:“QQ2000b”的快捷方式。 3. 启动后会将自己拷贝到系统目录下,并改名为 windll.exe, photo.gif.exe 和 notepads.exe。 4. 病 毒会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项 中添加一个键值为:WinIme,内容为:C:\WINNT\SYSTEM32\windll.exe的自启项。 5. 病毒会修改注册表,将命令接口(HKEY_CLASSES_ROOT\Txtfile\shell\open\command)改为病毒体,这样即使是自启动项被用户删除了,病毒也会照常运行。 6. 病毒会利用邮件进行传播,产生标题为:“这是我的照片”,附件为:“photo.gif.exe”的病毒邮件。 4、爱情森林II病毒 浪漫的“爱情森林”又升级了,所有的计算机用户都应该注意,不要被浪漫的病毒骗了。 病毒类型:木马病毒 发作时间:随机 传播方式:邮件/网络 感染对象:网络 警惕程度:★★★★ 病毒介绍: 1.此病毒是爱情森林的变种,当第一代的病毒网址被封掉以后,病毒又想出了新招。 2.该病毒将自己复制多份到windows的系统目录,并修改多项注册表。 3.当用户点击任何一个.exe文件时,病毒会根据特定文件名动态生成一个对话框:“某某文件发现引导区病毒,请到dos下面用A盘!”一旦当用户点确定时,文件即被删除。 4.此病毒还会修改本地的hosts文件不让用户登入一些反毒网站,使用户无法上网升级病毒库最新版本。 |