分享
 
 
 

图文详解QQ病毒查杀实战

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

原野编辑让我写则杀除qq病毒的稿件,为此他特地给我找来大约7个qq病毒,实在是非常感谢。为了贪图省事,我就一起在自己机器上运行了。首先让我们来看看这些病毒(工具)运行时候的画面,然后天缘将给大家介绍如何一步一步的查杀这些病毒。

1. 运行"一生有你.exe"之后出现的图片

看得出来,这个就是利用了大家喜欢看网友照片或者某些图片的好奇心,把木马文件和图片捆绑起来运行的。

2. 运行"qq信使功能客户端生成器"出现的界面;

这个很显然是让用户刻意运行的--难道还有人会傻到自己运行木马么?没错,在网吧等公共环境中,存在这这样一类人,故意在所用的机器上启用qq密码盗取木马,然后立即下机,后来的上网者就都成了该木马的受害者--这样获取它人的qq以便谋利。我还是生成并运行了它。

3.Trojan.PSW.QQpass.ak.a.exe 、Trojan.PSW.QQPass.ar.exe 以及另外3个病毒程序,我之后没有出现任何界面;

这个大概是配合其他感染方式使用的吧,例如配合恶意web页面使用,利用ie漏洞自动下载并执行;

4.运行Trojan.PSW.QQPass之后的无任何界面

我想是同上类型的,值得一提的是该病毒是一个典型的delphi程序的图标,而且运行方式有点特别,后面我详细说说;

5.运行qqinfo.exe 之后无任何界面;

但查看了一下它文件夹中的选项,有供替换用的internat.exe文件,不知为何在我机器上它替换失败,哈哈。看了一下那个internat.exe文件的属性,其版本号是5.0,猜测是对应win2k和winxp的,我这里是win98,所以无法替换吧??

ok,该运行的病毒我全都运行起来了,现在看看到底这些病毒在我们系统中做了哪些手脚吧??

一般来说,qq病毒都是独立的程序,通过启动的时候自动加载,检查qq的登陆窗口句柄,通过控件id获得用户的id号和密码值。也就是说,木马的成功分为2个部分:1.硬盘上存在盗取密码的程序;2.该程序被成功执行。明白了这点后,我们就可以分2步来分析这些盗取号码的软件:

首先我们来看看这些病毒在硬盘上的位置,根据天缘的经验,木马程序最喜欢在系统盘的根目录下,在windows的目录下(包括system和system32目录)和qq所在的盘/目录里最有可能隐藏病毒文件,让我们去以上各个目录看看。

首先,进入c盘的根目录,使用资源浏览器将文件按修改时间排序,发现无故多了张名字为dream.jpg,大小为48k的图片,打开一开,正是名为"一生有你.exe"这个病毒执行后出现的那张图片,看来该qq病毒应该是利用了捆绑工具,将jpg文件和病毒文件捆绑到了一起,这类病毒专门针对喜欢看网友照片的朋友而设计的,哈哈。除了这文件外,没发现其他文件被改变。 ok,接下来到c:\windows 目录下来看看(天缘装的操作系统是win98,如果在2k中就该是winnt目录哦),同样将文件按照时间排序看看。

发现增加了一个名为qqinfo.exe文件,

增加了一个名为intren0t.exe的程序,

增加了一个名为intrenat.exe的程序

同时user.dat和system.dat的最后访问时间也被修改了,熟悉注册表的朋友都知道,这2个文件正是注册表的真实文件,这就从侧面提示了提示我们,我运行的qq病毒软件修改了注册表。

接下来到system目录下去看看:

发现该目录下增加了一个名为explorer.exe的程序(这个程序跟资源管理器同名,不少的病毒/木马都喜欢取一些跟系统本身固有程序类似的名字来混辖视听,从下图可以看出,图标也是完全不同的);

增加了一个名为:winms.exe的程序

增加了一个uhqq.dll的程序

系统盘就找到这么多,接着到其他盘去看看

来到d盘根目录,发现增加了一个autorun.inf文件。

是个文本文件,打开一看,原来是指向D:\Program Files\FNYP.EXE。autorun.inf本来的作用是访问该分区的时候自动执行某些任务,例如光驱自动读盘就是用它实现的,但现在很多病毒也喜欢玩这个。Ok,不用说了,这个也是病毒干的,至于是哪个病毒呢?我猜测是Trojan.PSW.QQPass这个,因为图标同样是delphi的程序图标。

图文详解 QQ病毒查杀实战

在这主键下面不远的runservices 键值中,也发现几个不对劲的地方

好了,之后就没有再查找到可疑程序,到这里就查找完整了。。。接下来,就是先记录下来这些可疑文件的文件名字(有位置的顺便把文件位置也记录下来),然后将上面说的可疑键值全部删除掉。其中有一个比较特别的是rundll32.exe文件,这个本是windows的自带文件,但是病毒文件将其替换掉了,恢复方法见后。

Ok,关闭regedit,等待个几分钟,然后再打开regedit看看,重复一下上面的操作,看看刚才在注册表里的键值是否真的删除掉了。因为利用改写系统system i/o操作,可以作到令删除指定文件/注册表项目的操作无效--该技术目前只看到3721用到过。我查了一下,的确都删除了,看来这些木马技术含量还真不是一般的低,真好杀。

现在让我们运行一下scanregw,重新备份注册表

为什么这里要重新备份一次呢??因为windows有个习惯,就是如果是非法关机,那么此次的注册表操作都不保存--我曾经遇到过不少病毒利用这点来刻意令windows无法正常关机,达到用户即使清理了注册表也无效的效果。因此为了预防这点,我们重新备份一次注册表--这时候的注册表中已经是没有木马选项的了。

好了,重新启动计算机,开机按f8,进入到安全模式中。这时候因为不运行注册表里的启动程序,所以所有的木马都成了一匹死马--除了d盘下的利用autorun.inf的那个。等下特别关照它。

按照刚才记录下来的程序位置,依次进入到该目录中将该病毒文件删除;上面提到过,除了一个特殊的木马外,其他的都在c盘,所以直接进到相应目录里,删除文件即可。

接下来,在"我点电脑中",在d盘上点右键,选择"打开"方式打开d盘(如下图),注意,这一步不可以直接双击d盘图标打开,那样会导致d盘根目录下的autorun.inf自动执行,别忘记了d盘的木马还没删除掉呢。

ok,然后进到d盘的program file目录,将那个木马删除;用同样的方式进入e盘,将根目录下的autorun.inf文件删除掉;到现在为止,所有的木马都被我们删除掉了。 对于上面提到过的c:\windows 系统下被替换掉了的rundll32.exe怎么办?虽然我们已经将该木马删除了,但是该文件是被系统所需要的,所以还需要恢复一个干净的rundll32。对于win98来说,可以使用系统自带的系统文件检查器,对于win2k/xp来说,可以直接从别人机器上copy一个就行了,文件不大,即使网络传输也很快。下面来看看win98下如何使用系统文件检查器。

在 开始--运行 中输入"sfc",打开系统文件检查器

然后选择"从安装软盘提取一个文件",在下面的输入栏中输入rundll32.exe 接着点"开始",弹出如下界面

将"还原自"那里输入你的windows安装盘位置,然后点"确定"就行了。到这里为止--运行的所有qq密码盗窃病毒都被我们删除干净了。

接下来,再重新启动一次计算机,您就可以放心上网聊qq去了。其实qq软件木马的功能相当单一,杀除也相当容易,但是大多数用户是在发现被盗后才察觉到,属于亡羊补牢。最好的办法就是预防中毒,尽量不要接受陌生人的文件,在网吧上网的时候在下机前修改qq密码,另外最为重要的就是认真填写密码保护资料--如果qq被盗,而密码保护资料是乱填的,或者太简单或者根本就没密码保护,那么qq号大概是很难寻回了。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有