기금넷 공식사이트 - 재경 문답 - 국민의 이름으로 전자책

국민의 이름으로 전자책

답변:

===============================

6가지 주요 QQ 바이러스 특징 및 제거 방법

QQ 꼬리 바이러스

주요 특징

이 바이러스는 QQ를 활용하지 않고 자신의 바이러스를 전파합니다. 자신의 취약점. 실제로 웹사이트 홈페이지에 악성코드 조각을 삽입하고, IE의 iFrame 시스템 취약점을 이용해 악성 트로이 목마 프로그램을 자동으로 실행해 사용자 시스템에 침입한 뒤 QQ를 이용해 스팸 정보를 보내는 방식이다. 사용자 시스템이 취약점 패치[/url]를 설치하지 않았거나 IE를 최신 버전으로 업그레이드하지 않은 경우 이러한 웹 사이트를 방문하면 방문한 웹 페이지에 내장된 악성 코드가 실행되어 트로이 목마가 실행됩니다. IE의 취약점을 통해 사용자의 컴퓨터에 진입하는 프로그램입니다. 그런 다음 사용자가 QQ를 사용하여 친구에게 메시지를 보낼 때 트로이 목마 프로그램은 보낸 메시지 끝에 일반적으로 다음 문장 중 하나인 광고를 자동으로 삽입합니다.

QQ가 받은 정보는 다음과 같습니다.

1. 호호~~ [url=""][/url] 친구가 방금 이런 내용을 보냈습니다. 안보시면 후회하실 거에요, 헤헤. 친구들에게도 선물해보세요.

2. 하하, 사실 이 웹사이트가 정말 좋은 것 같아요. 한번 보세요/

3. 첫 번째로 로큰롤과 욕설적인 댄스 음악을 틀고 싶으신가요? 중국 DJ들을 위한 홈페이지는 [url=""][/url] 입니다. 아무한테도 말하지 마세요~ 하하, 정말 국내 최고의 DJ 사이트네요.

4. 이 웹사이트가 열릴 수 있는지 도와주세요.

5. 최근에 찍은 사진을 온라인에서 스캔한 사진을 보세요. 내가 변경되었는지 확인해보세요

삭제방법

1. 작업 중 MSconfig를 입력하세요. 시작 항목에 "Sendmess.exe"와 "wwwo.exe" 두 가지 옵션이 있으면 비활성화하세요. C:\WINDOWS에 qq32.INI라는 파일이 있는데 그 파일에는 QQ에 첨부된 몇 가지 광고 문구가 있습니다. DOS로 이동하여 "Sendmess.exe"와 "wwwo.exe" 두 파일을 삭제합니다.

2. 시스템 취약점 패치 설치

트로이 목마 바이러스인 'QQ Tail'은 IE의 iFrame을 이용하여 전파되는 방식을 통해 바이러스 파일이 실행되지 않는 것으로 확인됩니다. 허점을 통해 자동으로 실행되어 감염 목적을 달성합니다. 따라서 IE용 iFrame 취약점 패치를 신속하게 다운로드할 만큼 용기를 가져야 합니다.

2. QQ "위안" 바이러스

바이러스 특성:

이 바이러스는 VB 언어로 작성되었으며 ASPack으로 압축되었으며 QQ 메시지를 통해 확산됩니다. 실행 후 IE 기본 홈페이지는 다음과 같이 변경됩니다. [url="mand 다음 키 값 수정: default="C;\cmd.exe %1 &*"

B. new 실행 .sys 파일 연결로 인해 유해한 웹 사이트를 탐색할 때 b.sys 바이러스 파일이 실행됩니다. 레지스트리의 기본 키: HKEY_CLASS_ROOT\sysfile\shell\open\command 다음 키 값을 수정합니다. 기본값 = """% 1"" %*"

C. 새 .tmp 파일의 실행은 레지스트리의 기본 키인 HKEY_CLASS_ROOT\tmpfile\shell\open\command와 연결됩니다. 다음 키 값을 수정합니다. 기본값 ="""%1"" %*"

6. 전설적인 게임의 비밀번호를 훔쳐서 "mj25257758@263"이라는 이름으로 "scmsmj@tom.com" 메일함으로 보내려고 합니다. .sina.com"을 내장된 메일 엔진을 통해 전송합니다.

7. Win2000, WinXP, Win2003 시스템에서는 시스템 파일 "Rundll32.exe"가 시스템 디렉터리에 있으므로 바이러스가 해당 파일을 덮어쓰려고 시도하지만 이러한 시스템에서는 자동으로 보호 및 복구가 가능합니다. 시스템 파일이 손상되어 바이러스가 정상적으로 로드될 수 없으나 EXE 연결을 통해 로드될 수 있습니다.

제거 방법:

A. Windows Me, Windows XP, Windows 2003을 닫습니다." 시스템 복원" 기능;

B. 안전 모드로 다시 시작;

C. 먼저 regedit.exe의 이름을 regedit.com으로 바꾼 다음 리소스 관리자를 사용하여 cmd .exe 프로세스를 종료합니다. 그런 다음 regedit.com을 실행하고 EXE 연결을 ""%1" %*"로 변경한 후 C:\cmd.exe, %Windows%\Download Program Files\b.exe 파일을 삭제합니다. Win9x 시스템의 경우 %SystemRoot%\Rundll32.exe를 삭제한 다음 공유 디렉터리로 이동하여 "Virus Killer.exe"와 "Jay Chou Concert.exe"라는 두 개의 파일이 있는지 확인합니다. 파일 크기는 11184바이트입니다. 있는 경우 제거하십시오.

D. 레지스트리 정리:

레지스트리를 열고 기본 키 HKEY_CLASSES_ROOT\sysfile\shell\open, HKEY_CLASSES_ROOT\tmpfile\shell\open을 삭제하고 HKEY_CLASSES_ROOT\exefile\shell을 수정합니다. \open\ 명령의 키 값은 "%1" %*입니다.

예방 조치:

QQ에서 알 수 없는 링크를 쉽게 클릭하지 말고, 플러그인을 설치하지 마세요. 출처를 알 수 없음(예: 소위 바이러스 웹사이트 "Animation Player Plug-in 2.0").

4. '우한소년' 바이러스

바이러스 특성:

이 바이러스는 '우한소년'의 일련의 새로운 변종이다. QQ를 사용하여 전파하며, URL이 포함된 정보를 정기적으로 QQ 네티즌에게 전송하여 사용자의 클릭을 유도합니다. 해당 웹페이지는 IE의 개체 데이터 취약점을 이용하여 바이러스 자체를 다운로드하고 실행합니다. HTML에서 OBJECT의 DATA 태그. DATA로 표시된 URL의 경우 IE는 서버에서 반환한 HTTP 헤더를 기반으로 데이터를 처리합니다. HTTP 헤더에 반환된 URL 유형 Content-Type이 Application/hta인 경우 IE에서 설정한 보안 수준의 수준에 관계없이 URL에 지정된 파일이 실행될 수 있습니다.

이 변종의 가장 눈에 띄는 특징은 바이러스가 실행된 후 QQ 네티즌에게 동일한 URL을 정기적으로 보내는 것 외에도 QQ 네티즌의 계정, 비밀번호 및 기타 정보를 훔칠 기회도 갖는다는 것입니다. "Legend" 게임을 이메일로 보내면, 비밀번호 도둑에게 전송되면 각종 바이러스 백신 소프트웨어도 제거되지 않도록 종료됩니다.

(1) 바이러스 웹 페이지를 클릭하면 아름다운 여성의 사진이 표시되고 "ASP Space"라는 제목의 보이지 않는 창이 나타납니다.

이 웹페이지는 IE 취약점을 이용하여 leoexe.gif 및 leo.asp 파일을 다운로드하고 실행합니다. leoexe.gif는 이미지 파일이 아니라 exe 유형의 바이러스이고 leo.asp는 바이러스 방출기입니다.

(2) 바이러스가 실행되면 대부분의 바이러스 백신 소프트웨어, 방화벽 및 특정 바이러스 제거 도구가 종료됩니다.

(3) 정기적으로 QQ 네티즌에게 메시지를 보냅니다

( 4) 바이러스가 실행되면 시스템 디렉터리에 자신을 복사합니다. 파일 이름은 updater.exe, Systary.exe, sysnot.exe이며 레지스트리에 나타납니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\RunServices 추가:

"windows update" = "%installation Directory%\system\updater.exe" %installation Directory%는 Windows 시스템의 설치 디렉터리일 수 있습니다. 다른 시스템에서는 다를 수 있습니다. c:\windows; c:\winnt 등이 있습니다.

(5) 사용자가 txt 파일이나 exe 파일을 실행하면 바이러스 자체를 직접 가리키도록 텍스트 파일(*.txt)과 실행 파일의 연결을 수정합니다.

(6) 바이러스는 컴퓨터에서 Legend Games의 계정, 비밀번호 및 기타 정보를 검색하여 지정된 이메일 사서함으로 보냅니다.

바이러스 제거

1. 시스템 디렉터리에서 바이러스가 방출한 바이러스 파일을 삭제합니다

2. 바이러스가 생성한 키값을 삭제합니다 레지스트리에서

3. 바이러스 백신 소프트웨어를 실행하여 바이러스를 완전히 제거하세요

5. "사랑의 숲" 바이러스

바이러스 특성

트로이 목마 프로그램의 원본 파일은 hack.exe라고 하며 델파이로 작성하고 UPX로 압축했습니다. 트로이 목마 프로그램이 실행된 후 다음을 수행합니다.

1. Windows 운영 체제(일반적으로 windowssystem)의 시스템 디렉터리에 자신을 복사하고 이름을 Explorer.exe로 변경합니다. Windows 디렉토리에 있는 Explorer 파일과 이름이 동일하기 때문에 사용자에게 혼란을 주고 정상적인 시스템 파일인 줄 착각하게 만듭니다.

2. 레지스트리를 수정하고 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 아래에 Explorer="%windowssystem%Explorer.exe" 키 값을 추가하면 부팅 후 트로이 목마 프로그램이 자동으로 실행될 수 있습니다. (%windowssystem%은 윈도우 시스템 디렉터리)

3. 트로이 목마 프로그램은 [url="/"]/[/url] 사이트에서 update.exe 파일도 다운로드하고 다운로드한 파일을 실행합니다. 프로그램을 작성하고 기타 방해 행위를 수행합니다.

치료 방법

(1) 먼저 작업 관리자를 열고 아래에 있는 Explorer 프로세스를 종료한 후 시스템 디렉터리에 있는 트로이 목마 프로그램 Explorer.exe를 삭제합니다. 또는 DOS로 재부팅한 후 시스템 디렉터리로 이동하여 트로이 목마 프로그램을 직접 삭제하세요.

(2) 레지스트리 편집기를 열고 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun에서 Explorer라는 키 값을 삭제합니다.

(2) 변종 1 바이러스 특성

바이러스가 실행된 후 다음을 수행합니다.

1. 자신의 복사본 두 개를 Windows 시스템 디렉터리(일반적으로 Win9x)에 복사합니다. Windows 시스템의 경우 WinNt는 일반적으로 WinNtsystem32이며 각각 rundll.exe 및 sysedit32.exe로 이름이 변경되었습니다.

2. 레지스트리를 수정하고 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 아래에 키 값 intarnet="%windowssystem%rundll.exe"를 추가하여 부팅 후 트로이 목마 프로그램이 자동으로 실행되도록 합니다(여기서 %windowssystem%은 Windows 시스템 디렉터리).

3. 레지스트리를 수정하고 HKEY_CLASSES_ROOTtxtfileshellopencommand의 기본 키 값을 %windowssystem%sysedit32.exe로 수정한 후 메모장과 연결하여 사용자가 파일을 열 때 트로이 목마 프로그램이 실행될 수 있도록 합니다. txt 파일.

4. 트로이 목마는 QQ 프로그램을 통해 다른 QQ 사용자에게 "[url=" to coremail system(With Anti-Spam) 2.1"을 보내고 또 다른 대화 상자에는 "Cannot open file .mima"가 표시됩니다. .txt".

청소 방법

(1) 작업 관리자를 열고 RUNDLL 및 SYSEDIT32 프로세스를 종료합니다.

(2) 시스템 폴더( Win9x 일반적으로 Windowssystem(보통 WinNtsystem32)에 있는 RUNDLL.exe 및 sysedit32.exe라는 파일(파일 크기는 1781752바이트)

(3) 레지스트리 편집기를 열고 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 아래에 있는 이름을 삭제합니다. intarnet=%windowssystem%rundll.exe\"의 키 값입니다. HKEY_CLASSES_ROOTtxtfileshellopencommand의 기본 키 값을 메모장 %1에 복원합니다. (%windowssystem%은 Windows 시스템 폴더입니다.)

(4) setup.txt 또는 mima.txt 파일이 루트 디렉터리에 있으면 삭제합니다.

(3) 변종 2 바이러스 특성

트로이 목마 프로그램은 s.eml이라는 이메일에 패키지되어 있으며 Iframe 취약점을 악용합니다. 패치가 적용되지 않은 사용자가 이메일이 포함된 웹페이지를 탐색하면 이메일에 포함된 트로이 목마 프로그램(Hack.exe)이 자동으로 실행됩니다.

트로이 목마 프로그램이 실행된 후 다음을 수행합니다.

1. Windows 시스템 디렉터리(일반적으로 windowssystem)에 자신을 복사하고 이름을 Explorer.exe로 바꿉니다. Windows 디렉터리에 있는 Explorer 파일과 이름이 동일하기 때문에 사용자는 이것이 정상적인 시스템 파일이라고 오해할 수 있습니다.

2. 레지스트리를 수정하고 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun 아래에 Intarnet="%windowssystem%Explorer.exe" 키 값을 추가하면 부팅 후 트로이 목마 프로그램이 자동으로 실행될 수 있습니다. (%windowssystem%은 Windows 시스템 디렉터리입니다.)

3. 트로이 목마 프로그램은 QQ의 “메시지 보내기” 창 “[url="가서 살펴보세요"를 통해 QQ 사용자의 네티즌에게 다음 메시지를 보냅니다. , 매우 "멋져요", 사용자가 웹사이트를 클릭하여 탐색하면 트로이 목마 프로그램이 다시 활성화되어 트로이 목마가 QQ 채팅 도구를 통해 계속해서 확산됩니다."] 가서 살펴보세요, " 아주 좋아요", 사용자가 탐색하기 위해 웹사이트를 클릭하면 트로이 목마 프로그램이 다시 활성화되어 트로이 목마가 QQ 채팅 도구 [/url]를 통해 지속적으로 확산될 수 있습니다.

제거 방법:

(1) 작업 관리 익스플로러를 열고 아래의 익스플로러 프로세스를 종료한 후 시스템 디렉터리에 있는 트로이 목마 프로그램 Explorer.exe를 삭제합니다.

또는 DOS로 재부팅한 후 시스템 디렉터리로 이동하여 트로이 목마 프로그램을 직접 삭제하세요.

(2) 레지스트리 편집기를 열고 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun에서 Explorer라는 키 값을 삭제합니다.

(4) 세 가지 변종 바이러스 특성

실행 후 바이러스는 다음을 수행합니다.

4. 레지스트리를 수정하고 IE 브라우저의 기본 페이지, 시작 페이지, 시작 페이지를 수정합니다.

5. 트로이 목마는 QQ 프로그램을 통해 다른 QQ 사용자에게 "[url="mand의 기본 키 값은 Notepad %1입니다"를 보냅니다. (%windowssystem%은 Windows 시스템 폴더입니다.)

(4) IE 설정을 복원합니다. 레지스트리 편집기를 열고 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\시작 페이지, HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Internet Explorer\\Main\\Default_Page_URL, HKEY_LOCAL_MACHINE\\Software\\ Microsoft를 복원합니다. \\Internet Explorer\\Main\\Local 페이지가 원래 콘텐츠로 설정됩니다.

(5) 변종 4 바이러스 특성

트로이 목마 프로그램은 Delphi로 작성되었으며 UPX로 압축되었지만 프로그램을 실행하려면 사용자 컴퓨터에 Delphi의 동적 라이브러리가 설치되어 있어야 합니다. . 이 프로그램은 '사랑의 숲' 첫 번째 버전과 동일한 특징을 갖고 있어, 바이러스 작성자가 '사랑의 숲' 첫 번째 버전을 재컴파일한 후 생성했을 가능성이 높습니다. 트로이 목마 프로그램이 실행된 후 다음 작업을 수행합니다.

1. Windows 운영 체제(일반적으로 windowssystem)의 시스템 디렉터리에 자신을 복사하고 이름을 Explorer.exe로 바꿉니다. Windows 디렉토리에 있는 Explorer 파일과 이름이 동일하기 때문에 사용자에게 혼란을 주고 정상적인 시스템 파일인 줄 착각하게 만듭니다.

3. 트로이 목마 프로그램은 [url="/"]/[/url] 사이트에서 update.exe 파일을 다운로드하고 다운로드한 파일을 실행합니다. 프로그램을 작성하고 기타 방해 행위를 수행합니다.

치료 방법

(1) 먼저 작업 관리자를 열고 아래에 있는 Explorer 프로세스를 종료한 후 시스템 디렉터리에 있는 트로이 목마 프로그램 Explorer.exe를 삭제합니다. 아니면 DOS로 재부팅하고 시스템 디렉터리로 이동하여 트로이 목마 프로그램을 직접 삭제하세요.

(2) 레지스트리 편집기를 열고 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run에서 Explorer라는 키 값을 삭제합니다.

6. " 바이러스

바이러스 특성:

QQ를 사용하여 매혹적인 메시지를 보내 사용자를 속이게 합니다. 바이러스는 온라인 친구에게 유혹적인 새로운 텍스트와 링크를 보내 진실을 모르는 사용자를 속이게 만듭니다.

1. 시스템 디렉토리에 자신을 복사하십시오:

%SYSDIR%\internet.exe

%SYSDIR%\svch0st.exe

2. 바이러스가 시작되는 것을 방지하려면 다음 레지스트리 키를 수정하십시오.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Network Associates, Inc." .EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"

3. 바이러스가 실행된 후 TCP 포트 20808을 수신하기 위해 HTTP 서버가 설정됩니다.

이 기능은 원격 다운로드 요청에 응답하고 로컬 바이러스 파일을 원격 시스템에 복사합니다.

4. 바이러스는 QQ 채팅 소프트웨어를 검색하여 온라인 친구에게 매혹적인 메시지를 보냅니다. 내용은 다음과 같습니다.

"당신은 서정시처럼 아름답습니다. 온몸 소녀다운 청순함과 발랄한 매력이 가득

무엇보다 인상적이었던 것은 호수처럼 맑은 두 눈과 길고 반짝이는 속눈썹이었습니다

탐구처럼, 걱정처럼. 인사말

필요한 것:

주소 1 다운로드

"c:\123456.exe"

"c:\pass.exe"

"c:\game.exe"

"c :\my_photo.exe"

" c:\update.exe"

"c:\MP3.exe"

"c:\666666.exe "

이것들은 바이러스 그 자체입니다.

5. 바이러스의 특성을 고려하여, 특히 QQ 여성 사용자분들은 위 내용을 보시고 현혹되지 마시기 바랍니다.

청소 방법

(1) 작업 관리자를 열어 INTERNET.EXE 또는 SVCH0ST.EXE라는 프로세스가 있는지 확인하고 종료합니다.

( 2) 레지스트리 편집기를 열고 다음 키 값을 삭제합니다(<존재하는 경우>):

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"Network Associates, Inc." = " INTERNET.EXE"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

"S0undMan" = "%SYSDIR%\SVCH0ST.EXE"

( 3) %WINSYS% 디렉터리에 있는 파일을 삭제합니다: SVCH0ST.EXE 및 SVCH0ST.EXE

참고: %WINSYS%는 win9x, winme 및 winxp에서 Windows 시스템의 설치 디렉터리입니다. 기본값은 C:\WINDOWS\SYSTEM이고, win2k의 기본값은 C:\WINNT\SYSTEM32입니다.

==================================

답변 1470개

上篇: 유럽은 어디에 있나요?

下篇: 노인이 집에서 사망했습니까, 아니면 병원에서 사망했습니까?

관련 기사