大家小心中QQ病毒！

wuyou

[这个贴子最后由wwwfox在 2003/09/19 08:43pm 第 3 次编辑]

最近经常收到以下信息，据说是对方中了病毒。
呵呵,其实我觉得这个网站真的不错,你看看
http://?????.126.com
大家不要去点击这样的地址，会中毒的。

wuyou

金山截获最新木马“狩猎者”QQ聊天当心中招
http://www.duba.net 　(2003-05-13 11:23)　　文章来源：金山软件
  
　　日前，金山毒霸反病毒监测中心截获一例新木马病毒“狩猎者”.该病毒的特征非常类似于“爱情森林”,病毒激活后，会自动向QQ里的好友发消息,消息内容通常是某些网站的主页地址（URL）。用户点击QQ消息中的链接，进入相应网站，就可能中毒，成为该病毒“狩猎”的新目标。
　　据金山毒霸信息安全事业部技术总监陈飞舟介绍，“狩猎者”病毒具有以下基本特征：
　　首先，病毒会修改IE的默认主页为利用此病毒做宣传的网站；同时把木马程序植入系统目录下，并修改注册表中的启动项，使病毒获得开机时被加载的机会。如果系统中正在运行QQ，病毒会随机向QQ的好友发送网站的地址信息，为网站做广告宣传。而病毒程序就在这个网页上潜伏。这些病毒代码是利用Internet Explorer的IFrame漏洞进行传播的，当用户打开含有此病毒的网页时，病毒程序会自动下载到本地，并立即执行,中招机器又会成为病毒传播新的下线。
　　众所周知，大量青少年朋友使用QQ聊天交友，这为该病毒的迅速传播提供了有利条件.而这些病毒所引导的网站含有大量不良信息，社会危害性不可小视。迄今为止，金山毒霸反病毒监测中心已经捕获三个“狩猎者”病毒的变种，它们分别潜藏于以下三个网站：ｈｔｔｐ：//ｗｗｗ.ｋ１６３.ｃｏｍ；ｈｔｔｐ：／／ｗｗｗ.ｑｑ３３４４.ｃｏｍ；ｈｔｔｐ：／／ｗｗｗ.ｄｊ３３４４.ｃｏｍ 。金山毒霸各版本病毒库均已更新，可以处理此类病毒，广大计算机用户需要立即登陆金山毒霸网站( duba.net )更新到最新版。
　　金山反病毒工程师敬告用户，“狩猎者”病毒主要利用系统漏洞作恶，之所以能够广泛流行是因为上网用户的安全意识不够强，未及时给操作系统打补丁。强烈建议用户升级IE到6.0版以上，并使用Windows Update升级修补操作系统。网友在使用QQ聊天时，对突然收到的诸如“某链接非常好玩，快去瞧瞧”之类的消息时，千万不要点击该链接，以可以避免中招。

wuyou

QQ聊天须当心新型木马病毒 —— “狩猎者”
http://www.duba.net 　(2003-05-13 09:39)　　文章来源：金山毒霸
  
　　日前，金山毒霸反病毒监测中心截获一例新木马病毒“狩猎者”。该病毒的特征非常类似于“爱情森林”,病毒激活后，会自动向QQ里的好友发消息,消息内容通常是某些网站的主页地址（URL）。用户点击QQ消息中的链接，进入相应网站，就可能中毒，成为该病毒“狩猎”的新目标。
　　据介绍，“狩猎者”病毒具有以下基本特征：首先，病毒会修改IE的默认主页为利用此病毒做宣传的网站；同时把木马程序植入系统目录下，并修改注册表中的启动项，使病毒获得开机时被加载的机会。如果系统中正在运行QQ，病毒会随机向QQ的好友发送网站的地址信息，为网站做广告宣传。而病毒程序就在这个网页上潜伏。这些病毒代码是利用漏洞进行传播的，当用户打开含有此病毒的网页时，病毒程序会自动下载到本地，并立即执行,中招机器又会成为病毒传播新的下线。
　　金山反病毒工程师建议用户升级IE到6.0版以上，并使用WindowsUpdate升级修补操作系统。网友在使用QQ聊天时，对突然收到的诸如“某链接非常好玩，快去瞧瞧”之类的消息时，千万不要点击该链接，以避免中招。

wuyou

'爱情森林'的商业价值—网站利用病毒做广告
http://www.duba.net 　(2003-05-08 21:05)　　文章来源：金山毒霸安全资讯网
  
　　金山毒霸反病毒中心最近截获了一类仿“爱情森林”的木马病毒，此类病毒正在网上迅速传播。病毒激活后，会同“爱情森林”一样自动向QQ里的好友发消息，消息内容通常是网站的主页地址。病毒会潜伏在一些网站上，利用微软浏览器“Internet Explorer”(以下简写IE）的IFrame漏洞进行传播，当用户打开此病毒潜伏地网页时，病毒会自动下载到本地，并立即势行。
　　此类病毒都具有以下基本特征：
　　病毒运行后，会将IE的默认主页设为利用此病毒做宣传的网站的主页，把自己复制到系统目录下，会随系统自启动。如果系统正在运行QQ，会不时向QQ的好友发送网站的地址信息，为网站做广告宣传。
　　迄今为止，金山毒霸反病毒中心已经捕获三个此类病毒的变种，它们分别潜藏于以下三个网站： http://www.k163.com,http://www.qq3344.com,http://www.dj3344.com.
　　金山反病毒工程师警告，此类病毒主要利用系统漏洞作恶，之所以能得到流行的原因是上网用户的安全意识不够强，未及时给操作系统打补丁。所以，请用户在及时为病毒库升级的同时，也请多为自己的操作系统打补丁。请在以下网址更新您的操作系统，防止系统漏洞带来的危害：
　　 http://v4.windowsupdate.microsoft.com/zhcn/default.asp

wuyou

暗藏杀机！ 上网聊天请勿乱点“爱情森林”
http://www.duba.net 　(2002-11-13 15:36)　　文章来源：央视国际
  
　　近几天，一种名为“爱情森林”的电脑病毒通过互联网入侵邕城，一些用户不小心就中了招。这种病毒专门通过网络聊天工具，如QQ软件大肆攻击电脑。只要上网聊天时稍一大意，病毒就能让电脑彻底瘫痪。
　　据了解，这次开始袭击网络的是一种被称为“爱情森林C版”的恶性病毒，它通过目前最常用的QQ聊天软件攻击计算机并盗取QQ密码。只要您上网聊天时不慎打开了对话框中藏有这种病毒的网址，5个病毒复本就会侵入电脑系统，并且伪装成系统更新文件隐藏在启动目录中，而杀毒软件在执行杀毒命令时极有可能破坏整个系统。
　　对此，专业人员告诫：近期上网聊天过程中要尽量克制自己的好奇心，不要轻易点击陌生人发来的网址。另外，做好更新病毒库的预防工作也非常重要。

wuyou

金山毒霸截获木马程序-“爱情森林”SCKISS
http://www.duba.net 　(2002-08-28 00:55)　　文章来源：金山反病毒资讯网
  
　　病毒名称：Trojan.sckiss.176643
　　病毒类型：木马程序
　　感染长度：176643字节
　　危害级别：低
　　传播速度：慢
　　病毒特征:
　　该木马程序原始文件名为hack.exe,用Delphi编写，并用UPX进行了压缩。木马程序被运行后会：
　　(1)复制自身到Windows操作系统的system目录(通常为windowssystem)下，并改名为Explorer.exe。由于它和Windows目录下的Explorer文件同名，因此会迷惑用户，使用户误认为这是一个正常的系统文件。
　　(2)修改注册表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加键值Explorer="%windowssystem%Explorer.exe",使木马程序可以在开机后自动运行。(其中%windowssystem%为Windows的系统目录)
　　 (3)该木马程序还会在站点http://orchid.diy.163.com/下载文件update.exe，并执行下载下来的程序，进行其它的破坏活动。
　　手工清除该木马的方法：
　　 (1)先打开任务管理器，结束掉位于下面的那个Explorer进程，然后删除系统目录下的木马程序Explorer.exe。或者重新启动到DOS下到system目录直接删除该木马程序。
　　 (2)打开注册表编辑器，删除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名为Explorer的键值。

wuyou

常见网页恶意代码的修复问答
1.为什么我的QQ发送消息时，会自动添加一个网址？怎么解决？
你中了一个恶作剧程序，这种程序除了会对QQ发消息造成小麻烦外，没有其他危害。手动解决方法：
（1）运行msconfig,去除启动项scnareg.
（2）重启后，删除c:\windows\system\scanregw.exe
如果你不能手动清除，可以下载以下软件，详细操作见软件说明：
（1）WinDIY系统专家：http://www.windiy.com/download/index.htm
（2）金山毒霸专杀工具：http://www.duba.net/download/3/20.shtml
2.我浏览某网页后IE浏览器缺省主页被修改，并且锁定了设置项，我不能改回来，怎么办？
主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选)：
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
"Settings"=dword:1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
"Links"=dword:1
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
"SecAddSites"=dword:1
解决办法：
将上面这些DWORD值改为“0”即可恢复自行修改功能。
3.IE的默认首页呈灰色，不可更改，按扭不可选？
这是由于注册表HKEY_USERS\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel
下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改后为“1”（即为灰色不可选状态）。
解决办法：
将“homepage”的键值改为“0”即可。
4.我运行regedit时，提示注册表已被锁定，如何在注册表被锁定的情况下修复注册表？
这是由于
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值“DisableRegistryTools”被修改为“1”的缘故，将其键值恢复为“0”即可恢复注册表的使用。
解决办法:
（1）可以自己动手制作一个解除注册表锁定的工具，就是用记事本编辑一个任意名字的.reg文件，比如recover.reg，内容如下：
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
要特别注意的是：如果你用这个方法制作解除注册表锁定的工具，一定要严格按照上面的书写格式进行，不能遗漏更不能修改（其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可）；完成上述工作后，点击记事本的文件菜单中的“另存为”项，文件名可以随意，但文件扩展名必须为.reg（切记）,然后点击“保存”。这样一个注册表解锁工具就制作完成了，之后你只须双击生成的工具图标，其会提示你是否将这个信息添加进注册表，你要点击“是”，随后系统提示信息已成功输入注册表，再点击“确定”即可将注册表解锁了。
5.我的IE首页被修改成www.****.com，我自行改回来以后，重启计算机后，ie首页又变回www.****.com?
这通常是恶意脚本在你的自启动项作了手脚，你查看：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHICE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunONCE
HKEY_LOCAL_MACHICE\Software\Microsoft\Windows\CurrentVersion\RunONCE
HKEY_LOCAL_MACHICE\Software\Microsoft\Windows\CurrentVersion\RunServices
等注册表项有没有可疑健值，通常运行包含有".reg","regedit /s *.reg",".vbs",".js"都可以直接删掉，当然也有可能是运行".exe"/".dll"的，这就要靠经验判断了。
6.每次开机后自动打开一个网页，Why?
其实清除每次开机时自动弹出的网页方法并不难，只要你记住地址栏里出现的网址，然后打开注册表编辑器（方法是在点击“开始”菜单，之后点击“运行”，在运行框中输入regedit命令进入注册表编辑器），分别定位到：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce下，看看在该子项下是否有一个以这个网址为值的值项，如果有的话，就将其删除，之后重新启动计算机。这样在下一次开机的时候就不再会有网页弹出来了。
有时会在注册表的不同键值中多处设有这个值项，这样上面提的方法也未必能完全解决问题。遇到这种情况，你可以在注册表编辑器的选项菜单里选择“编辑”→“查找”，在“查找”对话框内输入开机时自动打开的网址，然后点击“查找下一个”，将查找到的值项删除。
7.系统启动时弹出对话框，提示什么“Microsoft推荐网站：*—****.com"!
受到更改的注册表项目为：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon 在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”，其中“LegalNoticeCaption”是提示框的标题，“LegalNoticeText”是提示框的文本内容。由于它们的存在，就使得我们每次登陆到Windwos桌面前都出现一个提示窗口，显示那些网页的广告信息！
解决办法：
打开注册表编辑器，找到
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon
这一个主键，然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串，删除这两个字符串就可以解决在登陆时出现提示框的现象了。
8.继续收集中....

以上所提方法都是手动解决方法，可能需要一定的计算机操作知识作为基础，当然，网上也就现成的工具，可以帮你解决注册表被修改后的修复问题，现推荐几个：
1。毒霸注册表修复器：http://www.duba.net/download/3/8.shtml
2。瑞星注册表修复工具：http://it.rising.com.cn/antivirus/net_virus/spiteful/regclean.zip
3。超级兔子注册表保护器：http://www.mydrivers.com/cgi-bin/tools/reg/174,1.htm

Climbing

我的朋友曾经中过顶楼的病毒，会自动发消息给正在聊天的网友，会让你链接到一个A片站点，中这种病毒一般都是因为用户的不谨慎造成的，浏览网页时看不懂弹出提出窗口的内容时千万不要随意点击Yes（是），很容易中招的。

ffbi

哈哈哈
这么恐怖就不要用QQ了

psfeng

还笑，我就给搞定了 ，不过改完了，没有事发生了

sim-lilei

下面引用由Climbing在 2003/09/19 08:59pm 发表的内容：
我的朋友曾经中过顶楼的病毒，会自动发消息给正在聊天的网友，会让你链接到一个A片站点，中这种病毒一般都是因为用户的不谨慎造成的，浏览网页时看不懂弹出提出窗口的内容时千万不要随意点击Yes（是），很容易中 ...

我朋友也有试过。

Cold

曾经我也中过爱情森林病毒，我不会修改什么注册表之类的
只好重装系统了~
还有什么其他办法解决吗？
请赐教~

taolang00

下面引用由wwwfox在 2003/09/19 08:39pm 发表的内容：
金山截获最新木马“狩猎者”QQ聊天当心中招
http://www.duba.net 　(2003-05-13 11:23)　　文章来源：金山软件
  
　　日前，金山毒霸反病毒监测中心截获一例新木马病毒“狩猎者”.该病毒的特征非常类似于“爱 ...

补充：次病毒还周期性的自动打开浏览器~
因为我中了次病毒~~

taolang00

下了。没人里我啊~~~

chairmanye

什么呀

六月的天空

HAO~~~~

半熟黄瓜

不用QQ,用MESSENGER聊天~!

emaic

还有一个办法就是不要用QQ嘛：）

lixiaoyao

用软件了
柳叶擦眼,找到木马,终止程序,删掉,完事

hi521

好！！！

chengwcn

我不修改注册表,手懂删除一些特定的文件,禁止一些非法程序的运行就可以解决了

ffbi

顶上来让一些问这个问题的人看一下

天使の导师

55555555555我中过顶上的毒~~~~我在DOS在删了几个文件好了！（现在忘了删了什么，郁闷………………）

ffbi

老大做得好
固顶了方便多了

juju

病毒真多

ft9910

我怕麻烦哟！嘿嘿，我就直接Ghost或恢复注册表就OK了。

cbqdysh

这些木马用还原精灵还原的了吗？谢谢。

丰田喜一郎

试过很多次了。还原C盘就行了吧

liudingjie

hao

空心榕

QQ毒好像只要把QQ删了，再删了它的文件夹后重装QQ就行了啊，我就这样搞的，好像也没事了啊，用好久了