常見的QQ病毒有哪些

壹.“ QQ尾巴”病毒

病毒主要特征:

這種病毒並不是利用QQ本身的漏洞進行傳播。它其實是在某個網站首頁上嵌入了壹段惡意代碼，利用IE的iFrame系統漏洞自動運行惡意木馬程序，從而達到侵入用戶系統，進而借助QQ進行垃圾信息發送的目的。用戶系統如果沒安裝漏洞補丁或沒把IE升級到最高版本，那麽訪問這些網站的時候其訪問的網頁中嵌入的惡意代碼即被運行，就會緊接著通過IE的漏洞運行壹個木馬程序進駐用戶機器。然後在用戶使用QQ向好友發送信息的時候，該木馬程序會自動在發送的消息末尾插入壹段廣告詞，通常都是以下幾句中的壹種。

QQ收到信息如下：

1. HoHo~~ 剛才朋友給我發來的這個東東。妳不看看就後悔哦，嘿嘿。也給妳的朋友吧。

2. 呵呵，其實我覺得這個網站真的不錯，妳看看/

3. 想不想來點搖滾粗口舞曲，中華 DJ 第壹站，網址告訴妳.。不要告訴別人 ~ 哈哈，真正算得上是國內最棒的 DJ 站點。

4. 幫忙看看這個網站打不打的開。

清除方法：

1．在運行中輸入MSconfig，如果啟動項中有“Sendmess.exe”和“wwwo.exe”這兩個選項，將其禁止。在C：\WINDOWS壹個叫qq32.INI的文件，文件裏面是附在QQ後的那幾句廣告詞，將其刪除。轉到DOS下再將“Sendmess.exe”和“wwwo.exe”這兩個文件刪除。

2．安裝系統漏洞補丁

由病毒的播方式我們知道，“QQ尾巴”這種木馬病毒是利用IE的iFrame傳播的，即使不執行病毒文件，病毒依然可以借由漏洞自動執行，達到感染的目的。因此應該敢快下載IE的iFrame漏洞補丁。

二. QQ“緣”病毒

病毒特征：

該病毒用VB語言編寫，采用ASPack壓縮，利用QQ消息傳播。運行後會將IE默認首頁改變為：mand 修改如下鍵值：默認="C;\cmd.exe %1 &*"

B、新增.sys文件的執行關聯，使得在瀏覽帶毒網站時執行病毒文件 b.sys在註冊表的主鍵: HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下鍵值：默認="""%1"" %*"

C、新增.tmp文件的執行關聯在註冊表的主鍵:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下鍵值：默認="""%1"" %*"

6、試圖偷傳奇遊戲的密碼,並通過自帶的郵件引擎以"mj25257758@263.sina.com"的名義發送到"scmsmj@tom.com"信箱中。

7、在Win2000、WinXP、Win2003系統中，系統文件"Rundll32.exe"就在系統目錄中，因而病毒會嘗試將該文件覆蓋，但這幾個系統都能自動保護並恢復受到破壞的系統文件，因而病毒不能正常加載，但仍可以通過EXE關聯被加載.

清除方法:

A、關閉Windows Me、Windows XP、Windows 2003的“系統還原”功能；

B、重新啟動到安全模式下；

C、先將regedit.exe改名為regedit.com，再用資源管理器結束cmd.exe進程，然後運行regedit.com，將EXE關聯修改為""%1" %*"，再刪除以下文件:C:\cmd.exe、%Windows%\Download Program Files\b.exe。對於Win9x系統，還要刪除%SystemRoot%\Rundll32.exe，再到***享目錄中看有沒有"病毒專殺.exe"和"周傑倫演唱會.exe"這兩個文件，文件大小為11184字節，如果有，將其刪除。

D、清理註冊表:

打開註冊表，刪除主鍵 HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open 修改 HKEY_CLASSES_ROOT\exefile\shell\open\command 的鍵值為 "%1" %*

防範措施：

不要輕易點擊QQ上的不明鏈接,不要安裝來歷不明的插件(如該病毒網站上所謂的"動畫播放插件2.0")。

四、“武漢男生”病毒

病毒特性：

此病毒是“武漢男生”的壹系列新變種，病毒發作後會利用QQ聊天工具進行傳播，定時給QQ網友發送包含網址的信息來誘使用戶點擊，該網頁利用了IE的Object Data漏洞下載並運行病毒本身，該漏洞是由HTML中OBJECT的DATA標簽引起的。對於DATA所標記的URL，IE會根據服務器返回的HTTP頭來處理數據。如果HTTP頭中返回的URL類型Content-Type是Application/hta，那麽該URL指定的文件就能夠執行，無論IE設置的安全級別有多高。

該變種較明顯的特點是，病毒運行後，除定時發給QQ網友同樣的網址外還會趁機盜取“傳奇”遊戲的帳戶、密碼以及其他信息，並以郵件形式發給盜密碼者，還會結束多種反病毒軟件，以保護自身不被清除。

(1)如果點擊病毒網頁，將會顯示美女圖片，而同時彈出壹個標題為“asp空間”的不可見窗口。此網頁利用IE漏洞，下載並運行leoexe.gif和leo.asp文件，其中leoexe.gif並不是圖像文件，而是exe類型的病毒體，leo.asp是病毒釋放器；

(2)病毒壹旦運行，將結束大部分殺毒軟件、防火墻以及某些病毒專殺工具；

(3)每隔壹段時間給QQ網友發送信息

(4)病毒運行後會復制自身到系統目錄下，文件名是updater.exe、Systary.exe、sysnot.exe,並在註冊表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加：

“windows update” = “%安裝目錄%\system\updater.exe” %安裝目錄% 是Windows 系統的安裝目錄，在不同系統下該目標表現可能不同，可能的有：c:\windows；c:\winnt 等。

(5)修改文本文件（*.txt）關聯和可執行文件關聯，直接指向病毒本身，如果用戶運行任意的txt文件和exe文件都會激活病毒。

(6)病毒會在計算機中搜索傳奇遊戲的帳戶、密碼以及其他信息，發送到指定的E-Mail信箱。

清除病毒

1、刪除病毒在系統目錄下釋放的病毒文件

2、刪除病毒在註冊表下生成的鍵值

3、運行殺毒軟件，對病毒進行全面清除

五、“愛情森林”病毒

（壹）病毒特征

該木馬程序原始文件名為hack.exe，用Delphi編寫，並用UPX進行了壓縮。木馬程序被運行後會：

1、復制自身到Windows操作系統的system目錄(通常為windowssystem)下，並改名為Explorer.exe。由於它和Windows目錄下的Explorer文件同名，因此會迷惑用戶，使用戶誤認為這是壹個正常的系統文件。

2、修改註冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Explorer="%windowssystem%Explorer.exe",使木馬程序可以在開機後自動運行。（其中%windowssystem%為Windows的系統目錄）

3、該木馬程序還會在站點/下載文件update.exe，

並執行下載下來的程序，進行其它的破壞活動。

清除方法

(1)先打開任務管理器，結束掉位於下面的那個Explorer進程，然後刪除系統目錄下的木馬程序Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程序。

(2)打開註冊表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。

（二）變種壹病毒特征

該病毒運行後會：

1、復制兩個自己的拷貝到Windows的系統目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下，並分別更名為rundll.exe和sysedit32.exe。

2、修改註冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值intarnet="%windowssystem%rundll.exe"，使木馬程序在開機後自動運行(其中%windowssystem%為Windows的系統目錄)。

3、修改註冊表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe，關聯記事本，使用戶打開txt文件時木馬程序能獲得運行機會。

4、該木馬會通過QQ程序向其它的QQ用戶發送“ to coremail system(With Anti-Spam) 2.1”，另外壹個對話框為“Cannot open file .mima.txt”。

清除方法

(1)打開任務管理器，結束掉RUNDLL和SYSEDIT32進程。

(2)刪除系統文件夾(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下名為RUNDLL.exe和sysedit32.exe的文件（文件大小為1781752字節）。

(3)打開註冊表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為intarnet=%windowssystem%rundll.exe\"的鍵值。恢復HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統文件夾)

(4)若根目錄下存在文件setup.txt或mima.txt,將其刪除。

（三）變種二病毒特征

該木馬程序被包裝在壹個名為s.eml的郵件中，並且利用了Iframe漏洞。當沒有打補丁的用戶瀏覽含有該郵件的網頁時，郵件中的木馬程序（Hack.exe）就會自動運行。

木馬程序被運行後會：

1、復制自身到Windows系統目錄（通常為windowssystem）下，改名為Explorer.exe。由於它和Windows目錄下的Explorer文件同名，因此會使用戶誤認為這是壹個正常的系統文件。

2、修改註冊表，在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下添加鍵值Intarnet="%windowssystem%Explorer.exe",使木馬程序可以在開機後自動運行。（其中%windowssystem%為Windows的系統目錄）

3、該木馬程序會通過QQ的“發送消息”窗口給QQ用戶的網友發送如下信息“去看看，很好看的”，

當用戶點擊該網址瀏覽時，木馬程序就會被再次激活，從而使該木馬通過QQ聊天工具不斷地傳播自己。

清除方法：

(1)打開任務管理器，結束掉位於下面的那個Explorer進程，然後刪除系統目錄下的木馬程序Explorer.exe。或者重新啟動到DOS下到system目錄直接刪除該木馬程序。

(2)打開註冊表編輯器，刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun下名為Explorer的鍵值。

（四）變種三病毒特征

該病毒運行後會：

1、復制兩個自己的拷貝到Windows的系統目錄(Win9x通常為Windowssystem,WinNt通常為WinNtsystem32)下，並分別更名為rundll.exe和sysedit32.exe。

3、修改註冊表，修改HKEY_CLASSES_ROOTtxtfileshellopencommand的默認鍵值為%windowssystem%sysedit32.exe，關聯記事本，使用戶打開txt文件時木馬程序能獲得運行機會。

4、修改註冊表，修改IE瀏覽器的默認頁，開始頁，起始頁。

5、該木馬會通過QQ程序向其它的QQ用戶發送“mand的默認鍵值為Notepad %1。(其中%windowssystem%為Windows的系統文件夾)

(4)恢復IE的設置。打開註冊表編輯器，恢復HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Start Page，HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL，HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Local Page的設置為原來的內容。

（五）變種四病毒特征

該木馬程序用Delphi編寫，並用UPX進行了壓縮，但該程序需要用戶的機器上安裝了Delphi的動態庫才能運行。該程序具有同“愛情森林”的第壹個版本相同的特征，因此極有可能是病毒作者對“愛情森林”的第壹個版本重新編譯後生成的。木馬程序被運行後會：

3、該木馬程序還會在站點/下載文件update.exe，

並執行下載下來的程序，進行其它的破壞活動。

清除方法

(2)打開註冊表編輯器，刪除HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run下名為Explorer的鍵值

六、“QQ女友”病毒

病毒特征：

利用QQ發送誘惑信息，導致用戶上當。病毒發送壹些誘惑新的文字和鏈接給在線的好友，致使不明真相的用戶上當。

1.復制自己到系統目錄：

%SYSDIR%\internet.exe

%SYSDIR%\svch0st.exe