QQ狩猎者（QQmsg各变种）

常用别名：“爱情后门”，“爱之门”，LovGate等

危害等级：★★★★

危害综述：

该病毒首次大规模爆发是在今年的2月18日，2月24日又出现一个类似的变种。3月下旬，该病毒又出现3个变种，增加了猜密码的功能。5月13日，该病毒再次大规模爆发，新变种完善了已有的功能，添加了感染可执行文件，反安全软件，监控内存，盗取信息等多种能力，此后又发展了多个变种，几乎使用了两年来PE病毒常用的各种技术，成为一种继“求职信”后，典型的集传统感染型病毒，蠕虫，木马黑客程序为一体的混和型病毒。许多邮件服务器都在极短时间内不堪重负而崩溃。

该系列病毒主要技术特点如下：

A.改进的邮件传播方式，能够随机根据收件箱中的已有邮件向外传播自己，带毒邮件的主题和内容跟原始邮件有关；将病毒副本做为附件，附件名称随机，极具迷惑性。

B.释放木马到系统目录，以服务的形式运行，服务名称模仿系统正常服务；监听端口，允许黑客控制被感染的计算机，盗取用户帐号等信息。

C.修改注册表的启动项，txt和exe文件关联，win.ini文件。

D.搜寻本地网络共享目录，通过可写的共享目录感染。

E. 猜测局域网中NT/2000/XP机器的Administrator、Guest用户密码，一旦猜中就将自己复制到对方机器，然后伪装成类似“Microsoft NetWork FireWall Services”的服务运行。

F.感染EXE文件，寄生到可执行程序的头部。

G.运行一个监控进程，当病毒终止时立即重新装载，反复重写注册表，终止一些知名的反病毒软件。

病毒特征：

1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网： http://flash2.533.net "

2、当浏览带毒网站时，会利用IE漏洞，尝试新增sys文件和tmp文件的执行关联，并下载执行病毒文件 b.sys，如果IE已经打上补丁，则会弹出一个插件对话框，引诱用户安装，安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中，文件名为 "b.exe"，如果用户拒绝安装该插件，会不断弹出对话框要求用户安装。

3、复制文件:

A、复制病毒体到 %SystemRoot% 文件夹中，文件名为"Rundll32.exe"；

B、复制病毒体为 "C:cmd.exe";

C、试图复制病毒体到共享目录中，名为"病毒专杀.exe"和"周杰伦演唱会.exe"。

4、添加注册表启动项，以随机启动在注册表的主键:HKEY_LOCAL_MACHINESoftwareMicrosoftWindows CurrentVersionRun添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"

5、修改和新增以下文件关联

A、修改.exe文件的关联，每当执行exe文件时，即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOTexefileshellopencommand 修改如下键值：默认="C;cmd.exe %1 &*"

B、新增.sys文件的执行关联，使得在浏览带毒网站时执行病毒文件 b.sys在注册表的主键: HKEY_CLASS_ROOTsysfileshellopencommand修改如下键值：默认="""%1"" %*"

C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOTmpfileshellopencommand修改如下键值：默认="""%1"" %*"

6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。

7、在Win2000、WinXP、Win2003系统中，系统文件"Rundll32.exe"就在系统目录中，因而病毒会尝试将该文件覆盖，但这几个系统都能自动保护并恢复受到破坏的系统文件，因而病毒不能正常加载，但仍可以通过EXE关联被加载.

清除方法:

A、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能；

B、重新启动到安全模式下；

C、先将regedit.exe改名为regedit.com，再用资源管理器结束cmd.exe进程，然后运行regedit.com，将EXE关联修改为""%1" %*"，再删除以下文件:C:cmd.exe、%Windows%Download Program Files.exe。对于Win9x系统，还要删除%SystemRoot%Rundll32.exe，再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会. exe"这两个文件，文件大小为11184字节，如果有，将其删除。

D、清理注册表:

打开注册表，删除主键 HKEY_CLASSES_ROOTsysfileshellopen、HKEY_CLASSES_ROOTmpfileshell open 修改 HKEY_CLASSES_ROOTexefileshellopencommand 的键值为 "%1" %*

防范措施：

不要轻易点击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。

• ·"新娘"病毒
• ·"妖怪"病毒
• ·"恶鹰"新变种K
• ·“爱情后门”病毒
• ·“SCO炸弹(MyDoom)”病毒
• ·"QQ女友"病毒
• ·爱情森林病毒
• ·"武汉男生"病毒
• ·费氏（Worm.Fizzer）
• ·QQ缘病毒