原野編輯讓我寫則殺除qq病毒的稿件，為此他特地給我找來大約7個qq病毒，實在是非常感謝，

圖文詳解 QQ病毒查殺實戰(zhàn)

。為了貪圖省事，我就一起在自己機器上運行了。首先讓我們來看看這些病毒（工具）運行時候的畫面，然后天緣將給大家介紹如何一步一步的查殺這些病毒。

    1. 運行"一生有你.exe"之后出現(xiàn)的圖片

   

    看得出來，這個就是利用了大家喜歡看網(wǎng)友照片或者某些圖片的好奇心，把木馬文件和圖片捆綁起來運行的。

    2. 運行"qq信使功能客戶端生成器"出現(xiàn)的界面；

   

    這個很顯然是讓用戶刻意運行的--難道還有人會傻到自己運行木馬么？沒錯，在網(wǎng)吧等公共環(huán)境中，存在這這樣一類人，故意在所用的機器上啟用qq密碼盜取木馬，然后立即下機，后來的上網(wǎng)者就都成了該木馬的受害者--這樣獲取它人的qq以便謀利。我還是生成并運行了它。

   

   

   

   

    點擊閱讀更多學院相關(guān)文章>>

    分享到 　　3．Trojan.PSW.QQpass.ak.a.exe 、Trojan.PSW.QQPass.ar.exe 以及另外3個病毒程序，我之后沒有出現(xiàn)任何界面；

    這個大概是配合其他感染方式使用的吧，例如配合惡意web頁面使用，利用ie漏洞自動下載并執(zhí)行；

    4．運行Trojan.PSW.QQPass之后的無任何界面

    我想是同上類型的，值得一提的是該病毒是一個典型的delphi程序的圖標，而且運行方式有點特別，后面我詳細說說；

    5．運行qqinfo.exe 之后無任何界面；

    但查看了一下它文件夾中的選項，有供替換用的internat.exe文件，不知為何在我機器上它替換失敗，哈哈。看了一下那個internat.exe文件的屬性，其版本號是5.0，猜測是對應win2k和winxp的，我這里是win98，所以無法替換吧？？

    ok，該運行的病毒我全都運行起來了，現(xiàn)在看看到底這些病毒在我們系統(tǒng)中做了哪些手腳吧？？

    一般來說，qq病毒都是獨立的程序，通過啟動的時候自動加載，檢查qq的登陸窗口句柄，通過控件id獲得用戶的id號和密碼值。也就是說，木馬的成功分為2個部分：1.硬盤上存在 的程序；2.該程序被成功執(zhí)行。明白了這點后，我們就可以分2步來分析這些盜取號碼的軟件：

    首先我們來看看這些病毒在硬盤上的位置，根據(jù)天緣的經(jīng)驗，木馬程序最喜歡在系統(tǒng)盤的根目錄下，在windows的目錄下（包括system和system32目錄）和qq所在的盤/目錄里最有可能隱藏病毒文件，讓我們?nèi)ヒ陨细鱾�目錄看看。

    首先，進入c盤的根目錄，使用資源瀏覽器將文件按修改時間排序，發(fā)現(xiàn)無故多了張名字為dream.jpg，大小為48k的圖片，打開一開，正是名為"一生有你.exe"這個病毒執(zhí)行后出現(xiàn)的那張圖片，看來該qq病毒應該是利用了捆綁工具，將jpg文件和病毒文件捆綁到了一起，這類病毒專門針對喜歡看網(wǎng)友照片的朋友而設計的，哈哈。除了這文件外，沒發(fā)現(xiàn)其他文件被改變。 ok，接下來到c:\windows 目錄下來看看（天緣裝的操作系統(tǒng)是win98，如果在2k中就該是winnt目錄哦），同樣將文件按照時間排序看看。

    發(fā)現(xiàn)增加了一個名為qqinfo.exe文件，

    增加了一個名為intren0t.exe的程序，

    增加了一個名為intrenat.exe的程序

   

       

   

   

    點擊閱讀更多學院相關(guān)文章>>

    分享到 　　同時user.dat和system.dat的最后訪問時間也被修改了，熟悉注冊表的朋友都知道，這2個文件正是注冊表的真實文件，這就從側(cè)面提示了提示我們，我運行的qq病毒軟件修改了注冊表。

   

    接下來到system目錄下去看看：

    發(fā)現(xiàn)該目錄下增加了一個名為explorer.exe的程序（這個程序跟資源管理器同名，不少的病毒/木馬都喜歡取一些跟系統(tǒng)本身固有程序類似的名字來混轄視聽，從下圖可以看出，圖標也是完全不同的）；

    增加了一個名為：winms.exe的程序

    增加了一個uhqq.dll的程序

   

    系統(tǒng)盤就找到這么多，接著到其他盤去看看

    來到d盤根目錄，發(fā)現(xiàn)增加了一個autorun.inf文件。

   

    是個文本文件，打開一看，原來是指向D:\Program Files\FNYP.EXE，

電腦資料

《圖文詳解 QQ病毒查殺實戰(zhàn)》(http://www.lotusphilosophies.com)。autorun.inf本來的作用是訪問該分區(qū)的時候自動執(zhí)行某些任務，例如光驅(qū)自動讀盤就是用它實現(xiàn)的，但現(xiàn)在很多病毒也喜歡玩這個。Ok，不用說了，這個也是病毒干的，至于是哪個病毒呢？我猜測是Trojan.PSW.QQPass這個，因為圖標同樣是delphi的程序圖標。

   

   

   

   

    點擊閱讀更多學院相關(guān)文章>>

    分享到 　　下來，就是殺除咯。

    分兩步走，先到注冊表里看看我們剛才找的是不是夠全面。

    在開始--運行中輸入"regedit"，按照下圖設置，進行查找

   

    先在一處找到了一個名為qqinfo的鍵值，在上面點鼠標右鍵，將其刪除；

   

    接著按f3，繼續(xù)查找

    在這里又發(fā)現(xiàn)幾處可疑的（蘭色標注的部分為病毒在注冊表里的項）

   

   

    點擊閱讀更多學院相關(guān)文章>>

    分享到 　　在這主鍵下面不遠的runservices 鍵值中，也發(fā)現(xiàn)幾個不對勁的地方

   

    好了，之后就沒有再查找到可疑程序，到這里就查找完整了。。。接下來，就是先記錄下來這些可疑文件的文件名字（有位置的順便把文件位置也記錄下來），然后將上面說的可疑鍵值全部刪除掉。其中有一個比較特別的是rundll32.exe文件，這個本是windows的自帶文件，但是病毒文件將其替換掉了，恢復方法見后。

    Ok，關(guān)閉regedit，等待個幾分鐘，然后再打開regedit看看，重復一下上面的操作，看看剛才在注冊表里的鍵值是否真的刪除掉了。因為利用改寫系統(tǒng)system i/o操作，可以作到令刪除指定文件/注冊表項目的操作無效--該技術(shù)目前只看到3721用到過。我查了一下，的確都刪除了，看來這些木馬技術(shù)含量還真不是一般的低，真好殺。

    現(xiàn)在讓我們運行一下scanregw，重新備份注冊表

   

    為什么這里要重新備份一次呢？？因為windows有個習慣，就是如果是非法關(guān)機，那么此次的注冊表操作都不保存--我曾經(jīng)遇到過不少病毒利用這點來刻意令windows無法正常關(guān)機，達到用戶即使清理了注冊表也無效的效果。因此為了預防這點，我們重新備份一次注冊表--這時候的注冊表中已經(jīng)是沒有木馬選項的了。

    好了，重新啟動計算機，開機按f8，進入到安全模式中。這時候因為不運行注冊表里的啟動程序，所以所有的木馬都成了一匹死馬--除了d盤下的利用autorun.inf的那個。等下特別關(guān)照它。

    按照剛才記錄下來的程序位置，依次進入到該目錄中將該病毒文件刪除；上面提到過，除了一個特殊的木馬外，其他的都在c盤，所以直接進到相應目錄里，刪除文件即可。

    接下來，在"我點電腦中"，在d盤上點右鍵，選擇"打開"方式打開d盤（如下圖），注意，這一步不可以直接雙擊d盤圖標打開，那樣會導致d盤根目錄下的autorun.inf自動執(zhí)行，別忘記了d盤的木馬還沒刪除掉呢。

   

   

    點擊閱讀更多學院相關(guān)文章>>

    分享到 　　　ok，然后進到d盤的program file目錄，將那個木馬刪除；用同樣的方式進入e盤，將根目錄下的autorun.inf文件刪除掉；到現(xiàn)在為止，所有的木馬都被我們刪除掉了。 對于上面提到過的c:\windows 系統(tǒng)下被替換掉了的rundll32.exe怎么辦？雖然我們已經(jīng)將該木馬刪除了，但是該文件是被系統(tǒng)所需要的，所以還需要恢復一個干凈的rundll32。對于win98來說，可以使用系統(tǒng)自帶的系統(tǒng)文件檢查器，對于win2k/xp來說，可以直接從別人機器上copy一個就行了，文件不大，即使網(wǎng)絡傳輸也很快。下面來看看win98下如何使用系統(tǒng)文件檢查器。

    在 開始--運行 中輸入"sfc"，打開系統(tǒng)文件檢查器

    然后選擇"從安裝軟盤提取一個文件"，在下面的輸入欄中輸入rundll32.exe 接著點"開始"，彈出如下界面

   

    將"還原自"那里輸入你的windows安裝盤位置，然后點"確定"就行了。到這里為止--運行的所有qq密碼盜竊病毒都被我們刪除干凈了。

    接下來，再重新啟動一次計算機，您就可以放心上網(wǎng)聊qq去了。其實qq軟件木馬的功能相當單一，殺除也相當容易，但是大多數(shù)用戶是在發(fā)現(xiàn)被盜后才察覺到，屬于亡羊補牢。最好的辦法就是預防中毒，盡量不要接受陌生人的文件，在網(wǎng)吧上網(wǎng)的時候在下機前修改qq密碼，另外最為重要的就是認真填寫密碼保護資料--如果qq被盜，而密碼保護資料是亂填的，或者太簡單或者根本就沒密碼保護，那么qq號大概是很難尋回了。

    上一頁 1 2 3 4 5 6

    點擊閱讀更多學院相關(guān)文章>>

    分享到