QQ病毒完整解决方案
网络通信
QQ病毒其实从严格意义上来说并不能算病毒,因为它的恶行仅仅是散布广告。这个讨人厌的东西出现至今已经快一年了,其间不知出了多少变种(笔者手头现有这类病毒50个样本)。
中了该类病毒后的症状就是QQ会自动向好友发送如图1所示的消息,当你的朋友看到消息,一旦点击链接且IE不是6.0版本的话,那他也会中毒。
或许有人会问,只看网页为什么会中毒呢?现在我们就来看看这个QQ病毒是如何在你的系统里安家落户的。
其实这个病毒利用的漏洞并不是QQ本身的,而是利用IE的iFrame漏洞来进行恶意程序的下载、运行,从而达到侵入用户系统进而借助QQ进行垃圾信息发送的目的。
传统的传播方式
受感染系统:Win9X/Me/2000/XP
病毒类型:Trojan(木马类)
感染途径:浏览一些含有恶意程序的网页时(针对没有打过相关漏洞补丁的IE5/5.5)
传播方式:通过QQ消息发送
预防方法:升级至IE 6.0 SP1
说明:此漏洞对于使用了IE内核的各种浏览器都有影响
一般在含有这类病毒网页中都会有这样一段代码:<iframe src=/super/super.mht width=0 height=0></iframe>。这段代码就是在网页中嵌入一个MHT的文件,IE执行网页代码时读到这一句就会去执行这个文件,而这个MHT文件里含有让IE执行后缓冲区溢出的代码。一旦缓冲区溢出,恶意程序就能做它想做的事而不管是不是被允许。
预防方法
1.不要随便打开QQ好友发来的陌生网址;
2.定期使用系统的Windows Update修补系统的漏洞;
3.将IE升级到6.0 SP1。
新的传播方式
最近网上又出现了另一种传播方式,中毒后的症状一样是会自动通过QQ向好友发送消息。只是改变了传播方式,不再是通过IE的漏洞来传播了。
其实新传播方式的手法也很简单,当你浏览网页时会弹出一个对话框,要你安装一个插件并告诉你只有安装了该插件才能正常浏览该网页。当你按下“确定”后就中毒了……
这类新病毒中有代表性的是Win32.Troj.QQmsgflash2,中了该病毒的机器在用QQ进行聊天时会向好友发送一个网址,让好友去浏览网页。该网页里不仅使用了前面所述的感染方式还采用了比较新的欺骗用户安装动画插件的提示框来给系统种下病毒。
注意
一般网页如果使用了Flash动画并且你的机器没有Flash播放器的话,IE才会提示要下载Flash Player(图2),但绝不会提示下载诸如“动画播放插件”这样的程序(图3)。
大家看图3中框起来的内容:请单击“是”按钮,否则无法正常运行。一般正常的程序可不会这么“心急地”要你按“是”的。而且图2是有安全签名的控件安装窗口,图3则没有。
一般来说没有签名的控件就需要提高警惕了,很有可能就是一个经过精心伪装的病毒程序。
不过有些网站因为某些原因,控件也没有经过安全签名,例如一些语聊网站。
预防方法
1.不去一些不知名的网站;
2.对IE进行安全设置;
选择“工具→Internet选项→安全”标签项,单击“自定义”按钮。对没有标记为安全的ActiveX控件进行初始化和并将脚本运行设定为禁用,再对“下载未签名的ActiveX按键”设定为禁用。
中招后的解决方法
这里推荐几种小工具来清除这些烦人的病毒:由幸福的狮子写的QQ尾巴专杀工具(http://bbs.kingsoft.net/viewthread.php?tid=168233&fpage=1);另外腾迅也提供相应的专杀工具(http://dl.tencent.com/?2003-2/bd.htm)。
笔者以前也写过一些的病毒的清除方案,但最后发现写一个病毒的清除方案还不如告诉大家如何去预防病毒入侵来得实惠。