文章大纲：

• 1、什么是 *** 病毒？
• 2、什么是木马病毒
• 3、qq四大病毒及解决 ***
• 4、什么是 *** 病毒呀
• 5、qq病毒的典型 *** 病毒
• 6、什么是盗号木马和 *** 尾巴病毒？

什么是 *** 病毒？

qq病毒

[编辑本段]背景

即时通讯所拥有的实时性、成本低、效率高等诸多优势，使之成为网民们最喜爱的 *** 沟通方式之一，但随着 *** 等即时通讯用户呈几何级增长，老病毒新病毒纷纷“下海”，群指IM软件。

8月25日，国内更大的反病毒厂商江民科技发布了即时通讯病毒最新排行榜， *** 及MSN病毒几乎包揽了排行榜“十强”。

[编辑本段]揭秘IM病毒

即时通讯(IM)类病毒主要是指通过即时通讯软件(如MSN、 *** 等)向用户的联系人自动发送恶意消息或自身文件来达到传播目的的蠕虫等病毒。

IM类病毒通常有两种工作模式：一种是自动发送恶意文本消息，这些消息一般都包含一个或多个网址，指向恶意网页，收到消息的用户一旦点击打开了恶意网页就会从恶意网站上自动下载并运行病毒程序。另一种是利用即时通讯软件的传送文件功能，将自身直接发送出去，这也是时下流行的主模式。

之一个利用MSN传播的蠕虫是2001年4月被发现的I-Worm/Funny，之一个利用 *** 自动发送恶意消息的病毒是2002年8月份的“爱情森林”。近年来，各种即时通讯软件层出不穷，在线用户的人数也呈爆炸式增长。

根据江民公司发布的2005年上半年十大病毒排行榜，即时通讯相关病毒已占据了一半席位，“ *** 龟”病毒更是名列十大病毒之首。江民反病毒专家何公道认为，现在的即时通讯已经成为病毒传播的主渠道，一方面是因为即时用户群规模庞大并且持续快速增长，另一方面即时通讯用户对好友发送消息容易放松警惕，病毒成功的机率较高。何公道也进一步表示，今后两年即时通讯类病毒还会越来越多，甚至一些重大病毒也很可能集中利用即时通讯来扩大传播面。据悉，日前疯狂流窜互联网的“极速波”病毒也已出现开始通过即时通讯传播的变种。

据悉，这些IM病毒很会玩弄花招，名人、美女都是其利用手段。因此专家建议广大网友上网即时聊天时更好启用杀毒软件的实时监控及隐私保护功能，尤其不要下载陌生网友推荐的网页、软件和资料，即使是好友发送也应仔细询问，以免病毒感染或机密资料被盗。

[编辑本段]典型 *** 病毒简介

1、病毒名称：Trojan/ *** Msg.Zigui

中 文 名：“ *** 龟”

病毒类型：木马

影响平台：Win 9x/2000/XP/NT/Me/2003

“ *** 龟”是一个木马程序，通过向 *** 好友群发病毒程序文件进行传播。文件名极具欺骗性，甚至调侃脑白金广告 “今年过年不收礼，收礼只收白骨精(搞笑版广告)”，继而盗取用户机密信息，并将盗取的信息发送给黑客。

2、病毒名称：I-Worm/ *** .Porn

中 文 名： *** 爱虫

传播方式： ***

病毒类型：蠕虫

影响平台：Win 9x/2000/XP/NT/Me/2003

" *** 爱虫"是通过在线 *** 发送病毒文件的 *** 蠕虫，该病毒会通过 *** 发送名为“蔡依林短裙显诱惑[转帖][贴图]”等带毒文件，病毒文件名还会包含众多带有色情和挑逗性的文字。病毒运行后会从黑客网站下载另一病毒“结巴” (Backdoor/Jieba.2004)，后者可以捕获Win9x/Win2k/WinXp下的几乎所有普通窗口的登录密码。

*** KAV2006国庆节版：

病毒查杀：改进病毒查杀引擎算法，彻底粉碎病毒文件，加强DLL注入型病毒查杀，最新流行 *** 木马病毒及其变种（13000余种）的查杀及病毒注册表残留项清理,保护电脑不受U盘及其他移动设备的病毒感染。进程及模块管理：自动判断系统正常进程/查看进程属性/强制结束进程/结束进程DLL模块/粉碎文件等系统启动项管理：注册表启动项/文件夹启动项等属性查看及删除。系统服务管理：自动判断系统正常服务/重启、停止、启动、改变系统服务模式。系统垃圾清理：上网隐私清理/系统垃圾文件清理等。流氓软件/插件清理及免疫：IE加载项/IE扩展项/BHO插件/IE右键菜单/已安装的ActiveX/IE高级设置项/系统HOOKS/免疫插件(国内流氓插件90项、国外流氓插件498项、其他插件及病毒插件21项)等。 IE修复：IE系统DLL修复/IE Cookies清除/IE地址栏清理/IE收藏夹管理等。导出系统诊断报告：导入系统启动项、系统服务、IE加载项/BHO/ActiveX/HOOKS等项目，方便给电脑专家解决系统故障及病毒。系统救援：EXE、TXT等系统关联修复/注册表解锁/任务管理器解锁等。安全资讯：最新的系统漏洞补丁、安全公告、病毒查杀 *** 等资讯播报。解决了与瑞星注册表监视的冲突等问题，以及包含在线升级、发送可疑文件、 *** 安全登陆器、锦山防火墙、自

定义锁定IE首页、屏蔽恶意网址、屏蔽 *** 尾巴消息、屏蔽好友发送病毒文件等功能。

*** 病毒专杀工具XP-- *** Kav是由国内共享软件作者喃哥开发的一款专门查杀腾讯 *** 自动发消息病毒、木马及反黄的软件。 *** Kav不仅具有带毒杀毒、准确度高、闪电查杀、无须重启等特点，实时监视注册表，保护系统安全。并还提供能够有效屏蔽不健康及恶意网站的监控过滤功能，可以有效地防止恶意网址的打开，拒木马、病毒于门外。另可用于屏蔽广告及IE插件弹窗、修补IE木马后门漏洞。此外，软件界面美观，使用简单，无需安装，属于绿色环保软件。(网吧版附带广告弹窗屏蔽、服务器时间校正、网吧辅助管理等功能。)

*** 自动发送文件病毒可能在你不自觉的情况下，就把一些病毒消息发送给你的好友，有些时候给你惹来了一些不必要的麻烦，在这里就向大家介绍了如何手动删除病毒的办法。

1.查找进程rundll32.exe k掉

2.如果有 .exe（注意是一个特殊字符不是空格）进程，k掉

3.定位[HKEY_LOCAL_MACHINESOFTWAREClasses xtfileshellopencommand]

改默认键值为 `notepad %1` （注意前面没有那个类似于空格的特殊字符）

4.定位 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command

改默认键值为 `%1` %* （注意前面没有那个类似于空格的特殊字符）

5.定位[HKEY_LOCAL_MACHINESOFTWARE\TENCENT\ *** ]

得到你的qq目录，再转到你的qq目录下

可发现 有两个文件

TIMPlatform.exe

TIMP1atform.exe (注意是1不是L)

删除TIMPlatform.exe（病毒，为winrar图标），把TIMP1atform.exe改名为TIMPlatform.exe

6.病毒文件删除,下面是要删除的病毒文件（都为winrar图标）,假设windows目录为c:winnt

c:winntsystem undll32.exe

c:winntsystem32?.exe

c:winntsystem32 otepad?.exe

*为你的系统打上此病毒`补丁`*

打此补丁后以后不会再中此病毒

定位注册表项（没有则新建）

HKEY_LOCAL_MACHINESOFTWAREClassesMSipv

添加一键值

MainVer 类型为REG_DWORD,值为ffffffff（16进制）

病毒启动判断状态参数完毕后会查询此值，如当前版本值比它小则会弹出个对话框就退出。

什么是木马病毒

1、木马病毒是一种专门用来偷取用户资料的病毒.

2、不会破坏程序.但会把你的 *** 密码.游戏帐号和密码.等发给编写病毒的人

3、可以用木马克星这个软件来查。（在网上搜索）

4、不要打开陌生的链接。不要轻易在网上下载文件。

5、无明显表现。只有你的 *** 丢了。或者邮箱丢了。你才会发现。

6、可以杀木马的软件来杀。比如木马克星。噬菌体等。

qq四大病毒及解决 ***

qq我们每天都上，常伴我们左右，然而病毒也是，qq在病毒就在，下面由我给你做出详细的qq病毒四大特征及解决 *** 介绍!希望对你有帮助!

qq四大病毒及解决 *** 介绍：

一、“ *** 尾巴”病毒

病毒主要特征

这种病毒并不是利用 *** 本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统，进而借助 *** 进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到更高版本，那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行，就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用 *** 向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段 广告 词，通常都是以下几句中的一种。

*** 收到信息如下：

1.HoHo~~**.com刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。

2.呵呵，其实我觉得这个网站真的不错，你看看***.com/

3.想不想来点摇滚粗口舞曲，中华DJ之一站，网址告诉你**.com.。不要告诉别人~哈哈，真正算得上是国内最棒的DJ站点。

4.http//***.com帮忙看看这个网站打不打的开。

5.***.126.com看看啊.我最近照的照片~才扫描到网上的。看看我是不是变了样?

清除 ***

1.在运行中输入MSconfig，如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。在C：\WINDOWS一个叫qq32.INI的文件，文件里面是附在 *** 后的那几句广告词，将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

2.安装系统漏洞补丁

由病毒的播方式我们知道，“ *** 尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。

二、 *** “缘”病毒

病毒特征：

该病毒用VB语言编写，采用ASPack压缩，利用 *** 消息传播。运行后会将IE默认首页改变为：.**115.COM/，如果你发现自己的IE首页被修改成以上网址，就是被该病毒感染了。

病毒会利用 *** 发送例如“今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”;“1937年12月13日，300000南京人民被侵华日军集体大屠杀!!!所有的中国人都不应忘记这个日子，从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史，我们要时刻警惕日本人的野心， *** 是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你 *** 上的好友!”等消息，消息里的链接是病毒网址。

清除 *** ：

使用了下面的办法将其彻底删除。

找到下列文件:

C:\windows\system\noteped.exe

C:\windows\system\Taskmgr.exe

C:\Windows\noteped.exe

C:\Windwos\system32\noteped.exe

删除掉:其中Taskmgr.exe要先打开"window任务管理器",选中进程"Taskmgr.exe",杀掉

注意:有两个名字叫"Taskmgr.exe"进程,一个是 *** 病毒,一个是你刚才打开的"Window认为管理器"

然后到注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run"

找到"Taskmgr"删除

如果你还不明白那请你先找到那几个文件，然后再按下面步骤操作:

1.在任务栏上点击鼠标右键，选择任务管理器

2.选择进程里的Taskmgr.exe，但我后来又测试也进行名称不一定是大写的，也有可能是小写，一般排在上面的一个是。

3.点击开始-运行，输入Regedit进入注册表

4.在注册表中找到"\HKey_Local_Machine\software\Microsoft\windows\CurrentVersion\Run，将Taskmgr"项删除"。

删除后重启计算机，《缘》 *** 病毒宣布彻底删除。

另外提醒大家，尽快更新你的IE到IE6SP1这样可以减少很多的IE被改机会。

近来网上出现一种叫做“ *** 尾巴”的木马病毒。该病毒会偷偷藏在你的系统中，当你在使用 *** 的时候，它会自动寻找 *** 窗口，给在线上的 *** 好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦--”之类的假消息，如果有人信以为真点击该链接的话，将会感染上病毒，并且成为病毒的传播源。

三、“ *** 狩猎者”病毒

病毒特征：

1、在进行 *** 聊天时会在消息中加入信息"向你介绍一个好看的动画网："

2、当浏览带毒网站时，会利用IE漏洞，尝试新增sys文件和tmp文件的执行关联，并下载执行病毒文件b.sys，如果IE已经打上补丁，则会弹出一个插件对话框，引诱用户安装，安装后会将自己安装到%Windows%DownloadedProgramFiles文件夹中，文件名为"b.exe"，如果用户拒绝安装该插件，会不断弹出对话框要求用户安装。

3、复制文件:

A、复制病毒体到%SystemRoot%文件夹中，文件名为"Rundll32.exe";

B、复制病毒体为"C:\cmd.exe";

C、试图复制病毒体到共享目录中，名为"病毒专杀.exe"和"周杰伦演唱会.exe"。

4、添加注册表启动项，以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"

5、修改和新增以下文件关联

A、修改.exe文件的关联，每当执行exe文件时，即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\exefile\shell\open\command修改如下键值：默认="C;\cmd.exe%1*"

B、新增.sys文件的执行关联，使得在浏览带毒网站时执行病毒文件b.sys在注册表的主键:HKEY_CLASS_ROOT\sysfile\shell\open\command修改如下键值：默认="""%1""%*"

C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\tmpfile\shell\open\command修改如下键值：默认="""%1""%*"

6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sin *** "的名义发送到"scm *** j@tom.com"信箱中。

7、在Win2000、WinXP、Win2003系统中，系统文件"Rundll32.exe"就在系统目录中，因而病毒会尝试将该文件覆盖，但这几个系统都能自动保护并恢复受到破坏的系统文件，因而病毒不能正常加载，但仍可以通过EXE关联被加载.

清除 *** :

A、关闭WindowsMe、WindowsXP、Windows2003的“系统还原”功能;

B、重新启动到安全模式下;

C、先将regedit.exe改名为regedit.com，再用资源管理器结束cmd.exe进程，然后运行regedit.com，将EXE关联修改为""%1"%*"，再删除以下文件:C:\cmd.exe、%Windows%\DownloadProgramFiles\b.exe。对于Win9x系统，还要删除%SystemRoot%\Rundll32.exe，再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会.exe"这两个文件，文件大小为11184字节，如果有，将其删除。

D、清理注册表:

打开注册表，删除主键HKEY_CLASSES_ROOT\sysfile\shell\open、HKEY_CLASSES_ROOT\tmpfile\shell\open修改HKEY_CLASSES_ROOT\exefile\shell\open\command的键值为"%1"%*

防范 措施 ：

不要轻易点击 *** 上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。

四、“武汉男生”病毒

病毒特性：

此病毒是“武汉男生”的一系列新变种，病毒发作后会利用 *** 聊天工具进行传播，定时给 *** 网友发送包含网址的信息来诱使用户点击，该网页利用了IE的ObjectData漏洞下载并运行病毒本身，该漏洞是由HTML中OBJECT的DATA标签引起的。对于DATA所标记的URL，IE会根据服务器返回的HTTP头来处理数据。如果HTTP头中返回的URL类型Content-Type是Application/hta，那么该URL指定的文件就能够执行，无论IE设置的安全级别有多高。

该变种较明显的特点是，病毒运行后，除定时发给 *** 网友同样的网址外还会趁机盗取“传奇”游戏的帐户、密码以及其他信息，并以邮件形式发给盗密码者，还会结束多种反病毒软件，以保护自身不被清除。

(1)如果点击病毒网页，将会显示美女图片，而同时弹出一个标题为“asp空间”的不可见窗口。此网页利用IE漏洞，下载并运行leoexe.gif和leo.asp文件，其中leoexe.gif并不是图像文件，而是exe类型的病毒体，leo.asp是病毒释放器;

(2)病毒一旦运行，将结束大部分杀毒软件、防火墙以及某些病毒专杀工具;

(3)每隔一段时间给 *** 网友发送信息

(4)病毒运行后会复制自身到系统目录下，文件名是updater.exe、Systary.exe、sysnot.exe,并在注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices中添加：

“windowsupdate”=“%安装目录%\system\updater.exe”%安装目录%是Windows系统的安装目录，在不同系统下该目标表现可能不同，可能的有：c:\windows;c:\winnt等。

(5)修改文本文件(*.txt)关联和可执行文件关联，直接指向病毒本身，如果用户运行任意的txt文件和exe文件都会激活病毒。

(6)病毒会在计算机中搜索传奇游戏的帐户、密码以及其他信息，发送到指定的E-Mail信箱。

qq病毒清除：

1、删除病毒在系统目录下释放的病毒文件

2、删除病毒在注册表下生成的键值

什么是 *** 病毒呀

楼上高见啊！ *** 病毒有很多种，一是你发给别人的时候后面老是跟一个你没打过的东西一起发出去，这叫做 *** 尾巴！二是可以盗你 *** 密码的病毒也叫木马啦！~还有很多啦！

qq病毒的典型 *** 病毒

1、病毒名称：Trojan/ *** Msg.Zigui

中 文 名：“ *** 龟”

病毒类型：木马

影响平台：Win 9x/2000/XP/NT/Me/2003

“ *** 龟”是一个木马程序，通过向 *** 好友群发病毒程序文件进行传播。文件名极具欺骗性，甚至调侃脑白金广告 “今年过年不收礼，收礼只收白骨精（搞笑版广告）”，继而盗取用户机密信息，并将盗取的信息发送给黑客。 2、病毒名称：I-Worm/ *** .Porn

中 文 名： *** 爱虫

传播方式： ***

病毒类型：蠕虫

影响平台：Win 9x/2000/XP/NT/Me/2003

*** 爱虫是通过在线 *** 发送病毒文件的 *** 蠕虫，该病毒会通过 *** 发送名为“蔡依林短裙显诱惑[转帖][贴图]”等带毒文件，病毒文件名还会包含众多带有色情和挑逗性的文字。病毒运行后会从黑客网站下载另一病毒“结巴” (Backdoor/Jieba.2004)，后者可以捕获Win9x/Win2k/WinXp下的几乎所有普通窗口的登录密码。 小心误入爱情森林，恶意网页是帮凶。2002年8月23日下午，瑞星全球病毒监控中心首次截获了一个传染能力极强的恶性 *** 病毒――“爱情森林”（Trojan.sckiss）。据瑞星公司的反病毒工程师介绍，此病毒会利用 *** 软件，诱惑用户打开一恶意网页，而该网页会自动下载病毒并修改注册表产生破坏。

病毒类型：木马病毒

发作时间：随机

传播方式：邮件/ *** / *** 诱骗

感染对象： ***

警惕程度：★★★★

病毒介绍：

此病毒是已知的之一个利用 *** 进行传播并破坏的恶性木马病毒。它利用本机 *** ,在用户不知道的情况下向用户的好友发送一句消息：“(网址不便展现)这个你去看看！很好看的”一旦登陆此网站，便会中毒。因为此网站的主页是一个恶意网页，它会自动下载“爱情森林”病毒并执行，从而对用户计算机造成破坏。

此病毒具有以下四大特色：

一、 利用邮件包装，形成自启动邮件。

病毒的原始文件是一个名为HACK.EXE的木马病毒，病毒作者为了能使病毒“初战告捷”，迅速占领用户计算机，利用了OUTLOOK的邮件漏洞，将原始病毒包装成一个可以预览执行的病毒邮件：s.eml,然后放入一个恶意网页中，等待下载。

二、 利用 *** 工具，发送伪装信息。

如果用户不小心点击或预览了病毒邮件，病毒便可执行。病毒执行时会搜索用户的 *** 程序，如果用户在线的话，病毒会伪装成用户，给用户的所有在线的好友发送一条用户无法查觉的隐藏信息，此信息的内容为：“(网址不便展现)这个你去看看！很好看的”如果用户的好友在收到了此信息后，因为好奇而点击了此链接，则会进入一个恶意网页。

三、 利用恶意网页帮凶，导致病毒泛滥。

该恶意网页用 *** 语言编写，利用了JAVA EXPLOIT漏洞，所以不经用户的允许，便可以悄悄运行自动下载“爱情森林”病毒邮件(s.eml)并执行。然后此恶意网页会修改用户注册表进行破坏，将用户的IE标题改为：“(网址不便展现)/爱情森林”，使用户的“运行”菜单项无法使用，并且将用户的IE默认首页改为：“(网址不便展现)”，此恶意网页还将此网址加入注册表中的RUN自启动项。这样以来，无论用户启动计算机还是启动IE浏览器，都可以自动链接到恶意网页，感染病毒。

四、 侵占系统目录，继续“生生不息”。

“爱情森林”病毒通过 *** 发送信息之后，便开始进行本机的感染。病毒首先改名为：“EXPLORER.EXE”，然后将之拷贝到WINDOWS的系统目录(SYSTEM或SYSTEM32)下，这样用户即使发现也不会起疑心，然后病毒修改注册表，在RUN的自启动项中建立一个EXPLORER的键值，将病毒路径加入其中，一旦计算机重启，病毒便可自动运行，再次进行以上感染。

爱情森林II病毒

浪漫的“爱情森林”又升级了，所有的计算机用户都应该注意，不要被浪漫的病毒骗了。

病毒类型：木马病毒

发作时间：随机

传播方式：邮件/ ***

感染对象： ***

警惕程度：★★★★

病毒介绍：

1.此病毒是爱情森林的变种，当之一代的病毒网址被封掉以后，病毒又想出了新招。

2.该病毒将自己复制多份到windows的系统目录，并修改多项注册表。

3.当用户点击任何一个.exe文件时，病毒会根据特定文件名动态生成一个对话框：“某某文件发现引导区病毒，请到dos下面用A盘！”一旦当用户点确定时，文件即被删除。

4.此病毒还会修改本地的hosts文件不让用户登入一些反毒网站，使用户无法上网升级病毒库最新版本。

爱情森林C版病毒

“爱情森林”病毒又出C版，请用户及时准备，以防不测。

病毒类型：木马病毒

发作时间：随机

传播方式： ***

感染对象： ***

警惕程度：★★★★

病毒介绍：

爱情森林病毒的又一个新变种！此病毒运行时建立5个病毒复本：WIN386.SWP、WINUPDATE.EXE、INTERNETS.EXE、WINVER.EXE、HOSTS,并将系统的交换文件替换掉，而且还伪装成系统的更新文件躲在启动目录中。另外，病毒会将可执行的关联改成病毒体，这样用户运行其他程序时会直接运行病毒体，而且有些程序运行时还会被此病毒删除。

此病毒有如下特征：

1. 建立5个病毒副本，系统启动后病毒会自动运行： C:\WINDOWS\WIN386.SWP C:\WINDOWS\START MENU\PROGRAMS\WINUPDATE.EXE C:\WINDOWS\SYSTEM32\INTERNETS.EXE C:\WINDOWS\WINUPDATE.EXE C:\WINDOWS\WINVER.EXE C:\WINDOWS\HOSTS 2. 将注册表中的HKCR\exefile\shell\open\command项的内容改为：C:\WINDOWS\winupdate.exe %1 %*，这样用户双击任何程序都会不启动程序而直接启动病毒。

3. 有时一些启动的应用程序还会被此病毒莫名其妙地删除。 于2002年10月18日出现的新型恶性 *** 病毒“ *** 伪装专家”（Trojan. *** camoufleur）虽然已经被瑞星公司捕获，但鉴于这个病毒有出现新版本的可能，所以广大用户还是应该做好防毒准备。

病毒类型：木马病毒

发作时间：随机

传播方式： ***

感染对象： ***

警惕程度：★★★★

病毒介绍：

此病毒用高级语言编写并用aspack工具压缩。病毒会伪装成真正的 *** 程序启动，并在桌面上建立一个名为：“ *** 2000b”的快捷方式，而真正 *** 的快捷方式是：“腾讯 *** ”。病毒运行时会将用户的 *** 号码与密码偷偷发送到指定邮箱。病毒有极强的 *** 传染能力，如果发现局域网中有共享目录，便将自身拷贝到共享目录下，诱使用户运行。病毒会通过邮件系统传播。建立标题为：“这是我的照片”，附件为：“photo.gif.exe”的病毒邮件。另外，病毒还会攻击打印机。一旦检测到打印机的存在，病毒便会不断地通过打印机大量打印病毒代码，损耗打印机，浪费纸张。

病毒一般会有如下特征：

1. 使打印机无故打印乱码。

2. 在桌面上建立一个名为：“ *** 2000b”的快捷方式。

3. 启动后会将自己拷贝到系统目录下，并改名为 windll.exe,photo.gif.exe 和 notepads.exe。

4. 病毒会在注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加一个键值为：WinIme,内容为：C:\WINNT\SYSTEM32\windll.exe的自启项。

5. 病毒会修改注册表，将命令接口（HKEY_CLASSES_ROOT\Txtfile\shell\open\command)改为病毒体，这样即使是自启动项被用户删除了，病毒也会照常运行。

6. 病毒会利用邮件进行传播，产生标题为：“这是我的照片”，附件为：“photo.gif.exe”的病毒邮件。 Worm.Gop.3( *** 窃手）是近日出现的一种新型的蠕虫病毒，它以攻破聊天工具OICQ密码为目标，同时也会恶意泄漏用户的重要信息。此病毒蔓延速度极快，据瑞星全球病毒监测网报告，这是一种传播力极强的病毒，国内也已经发现病毒信息，所以广大用户应紧急采取预防措施，避免遭受损失。

病毒名称：Worm.Gop.3

别名： *** 窃手

病毒类型：蠕虫

发作时间：随机

传播方式： *** /文件

感染对象： *** /文件

警惕程度：★★★

病毒介绍：

Worm.Gop.3( *** 窃手)病毒主要通过邮件形式传播，更具危害的是：它具有与尼姆达病毒类似的“预览信件即受感染”的能力，这样用户不用打开病毒邮件就已经遭受感染。它具有传染极快、结构复杂等特点，它所造成的危害主要就是泄漏用户ICQ(OICQ)密码，同时将用户在感染前处理的最后一个文件（近期文件，对用户来讲往往很重要）通过附件形式，通过邮件形式寄出，这样用户的很多隐私就有可能在不知不觉中泄露出去。

发作现象：

Worm.Gop.3( *** 窃手）自身捆绑了一个DLL文件，和一个随机的文档，当病毒运行后会在系统目录下释放出一个kernelsys32.exe,然后kernelsys32.exe将自动启动。（此病毒还会在临时目录下将自身带的WORD文件释放出来，并将此文件打开，借此来掩饰自己的行为。）

Kernelsys32.exe会释放出一个IMKERNEL32.SYS的文件，并将IMKERNEL32.SYS注入其他的进程空间内，该文件注入进程空间内后就开始窃取本地的QICP的帐号和密码。然后当QICQ启动时，它会判断当前的窗口标题如果是“ *** 用户登录”或是“OICQ用户登录”就将窃取用户输入的密码，并将密码和帐号保存在系统目录下的drocerr.sys文件中，同时备份到系统目录下的drocerrbk.sys文件中。

病毒还会自动查找最近打开过的文件，如果文件是以下类型（bmp、rtf、doc、txt、gif、jpeg、jpg）并且小于80k,病毒就将此文件捆绑在自己后面，形成一个exe文件作为附件发送给别人。这样收信人会以为收到了一个无害的文件，一但在Outlook Express或者windows中预览了这个邮件，会立刻感染这个蠕虫。信件的主题为以下之一： 想念你的模样 想我的小宝贝了 快乐 给我永恒的爱人 我爱你 想念 我在等着你 吻你 你是我的女主角 爱，有时候真的不能去比较的 哎 Fw：姐姐的照片 记得收好我的照片呀！ xue 您的朋友 张 给您寄来贺卡 信件的内容为各种情书。这对于佳节将至的广大用户来说，是很容易被蒙蔽的。

清除Worm.Gop.3( *** 窃手）病毒的方式是用杀毒软件将其全面杀除。

预防Worm.Gop.3( *** 窃手）的办法与多数蠕虫病毒的 *** 类似：就是不要打开上文提到的主题邮件，其次是警惕陌生邮件，为了避免受到病毒侵袭用户还应使用优秀的防火墙软件――如瑞星防火墙进行防堵预防，并尽快对杀毒软件进行升级。 病毒名称：Hack. *** 2000.Trick

病毒别名： *** 骗子

发作时间：随机

病毒类型：黑客程序

传播方式： ***

警惕程度：★★★★

病毒介绍：

此病毒模仿oicq软件，将用户填写的登录号码和密码发送到指定信箱，从而窃取用户个人信息。由于此程序的外表做得和真正的oicq软件的图标完全一致，所以对于用户造成了很大的迷惑，极易让人上当。

发作现象：

此病毒与真正的 *** 有同样的图标，如果用户双击此病毒文件，病毒即运行，跳出一个信息框，让用户填写邮件地址，而真正的oicq程序是没有此信息框的，所以当出现此信息框的时候，则表明用户正在使用 *** 骗子，而不是真正的 *** 。与此同时 *** 骗子还会在桌面生成一个快捷方式，此快捷方式也与真正的oicq软件的快捷方式相同。用户如果再双击 *** 骗子生成的快捷方式的话，又会跳出一个与oicq软件相同的登陆界面，如果此时用户将自己的登录号码和密码填写上去，并按确定键的话，又会跳出一个信息框，显示登录失败，而实际上，与此同时，刚才用户所填写的信息已被发送到病毒制造者所指定的信箱中，从而用户的私人信息便被泄露出去了。 2003年10月以来网上出现一种叫做“ *** 尾巴(Trojan. *** 3344)”的木马病毒。该病毒会偷偷藏在你的系统中，当 你在使用 *** 的时候，它会自动寻找 *** 窗口，给在线上的 *** 好友发送诸如“刚刚朋友给我发来的这个东东。你不看看要后悔哦--”之类的假消息，如果有人信以为真点击该链接的话，将会感染上病毒，并且成为病毒的传播源。

一、该病毒的主要特征：

这种病毒并不是利用 *** 本身的漏洞进行传播。它其实是在某个网站首页上嵌入了一段恶意代码，利用IE的iFrame系统漏洞自动运行恶意木马程序，从而达到侵入用户系统，进而借助 *** 进行垃圾信息发送的目的。用户系统如果没安装漏洞补丁或没把IE升级到更高版本，那么访问这些网站的时候其访问的网页中嵌入的恶意代码即被运行，就会紧接着通过IE的漏洞运行一个木马程序进驻用户机器。然后在用户使用 *** 向好友发送信息的时候，该木马程序会自动在发送的消息末尾插入一段广告词，通常都是以下几句中的一种。

*** 收到信息如下： 1. HoHo~~ ***刚才朋友给我发来的这个东东。你不看看就后悔哦，嘿嘿。也给你的朋友吧。 2. 呵呵，其实我觉得这个网站真的不错，你看看**** 3. 想不想来点摇滚粗口舞曲，中华 DJ 之一站，网址告诉你***********不要告诉别人 ~ 哈哈，真正算得上是国内最棒的 DJ 站点。 4.*** 帮忙看看这个网站打不打的开。 5. *** 看看啊。我最近照的照片~ 才扫描到网上的。看看我是不是变了样？ 二、解决 *** ：

1．在运行中输入MSconfig,如果启动项中有“Sendmess.exe”和“wwwo.exe”这两个选项，将其禁止。在C：\WINDOWS一个叫qq32.INI的文件，文件里面是附在 *** 后的那几句广告词，将其删除。转到DOS下再将“Sendmess.exe”和“wwwo.exe”这两个文件删除。

2．随时升级杀毒软件。

3．安装系统漏洞补丁

由病毒的播方式我们知道，“ *** 尾巴”这种木马病毒是利用IE的iFrame传播的，即使不执行病毒文件，病毒依然可以借由漏洞自动执行，达到感染的目的。因此应该敢快下载IE的iFrame漏洞补丁。 警惕程度：★★★★

发作时间：随机

病毒类型：木马病毒

传播方式： *** 软件

感染对象： *** 用户

依赖系统： WIN9X//NT/2000/XP

病毒介绍：

该病毒运行后会偷偷藏在用户的系统中，并修改注册表进行自启动。发作时会寻找 *** 窗口，每隔1分钟就给被感染用户的所有线上的 *** 好友发送诸如“快去这看看，里面有蛮好好东西-- ”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒无情感染，然后成为毒源，继续传播。

病毒的发现与清除：

此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

1. 病毒运行时会将自身复制到系统目录下，命名为：WebAuto.exe。

2. 病毒会修改注册表，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\

CurrentVersion\Run启动项中添加键值WebAuto.exe,该键值的内容是病毒的文件路径，在下一次启动计算机时，病毒就会自动运行。

3. 病毒会将用户系统中的IE默认首页改为：*********** ，使用户一上网就中招。

4. 病毒会寻找 *** 的发送消息窗口，给用户所有好友随机发送以下消息： 1. *** 电影爽啊！给你也推荐一下，完全免费--； 2. 快去这看看，里面有蛮好好东西--； 3. 上次看了个网站不错，去看看吧--； 在这些消息之后还伴随着一个恶意网址诱骗用户点击。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了 *** 连发器（Trojan.WebAuto、Trojan.WebAuto.a)病毒。 病毒类型：木马病毒

传播途径： *** 软件/ ***

依赖系统： WINDOWS 9X/NT/2000/XP

病毒介绍：

2004年2月27日，瑞星全球反病毒监测网率先截获一个传播非常迅速，破坏性很强的的恶性木马病毒，并命名为“美女杀手 (Trojan.Legend.Syspoet.b)”病毒，该病毒通过 *** 发送虚假消息给在线好友，导致在线好友上当。病毒会将自己伪装成网址，当用户点击该网址时会出现一副美女照片，当照片被打开的时候用户的电脑则已经被病毒感染。

该病毒会利用微软浏览器的漏洞进行攻击，浏览器版本级别低于IE6.0 SP1的电脑染毒后，病毒会修改一些文件的关联，导致象OFFICE软件、任务管理器、注册表编辑器等程序无法使用，该病毒还会破坏资源管理器，只要用户打开目录的深度超过五级，病毒就自动关闭浏览器。该病毒会干掉含有“杀毒”字样的窗口，因此会造成一些反病毒软件及病毒专杀工具无法使用、一些反病毒公司的主页无法登陆等现象。另外该病毒会修改用户电脑的系统配置，导致用户重启系统时无法进入“我的电脑”。

病毒盗取《传奇》游戏的密码和其他信息，并通过十几个邮件服务器向外发送大量的病毒邮件，阻塞 *** 。据瑞星反病毒工程师介绍，没有被感染的用户可以通过个人防火墙来预防该病毒，当用户发现有Mshta.exe的程序访问外部 *** 时，应该立刻禁止，如果该程序访问 *** 成功，将会对用户电脑产生上述破坏。

病毒的特性、发现与清除：

1. 病毒用VB语言编写，采用UPX压缩。

2. 病毒一旦执行，病毒将自我复制到系统文件夹，并重命名为随机文件名的可执行文件。

3. 病毒将在注册表启动项下，创建随机注册表键值来使自己随Windows系统自启动。

4. 终止带有下列字眼的程序的执行：瑞星、金山毒霸、江民、专杀、毒、木马、防火墙、监控、注册表编辑器、任务管理器、进程列表、进程管理、Antivirus、Trojan、REGSNAP、REGSHOT、REGISTRY MONITOR、W32DA *** 。

5. 通过 *** 发送虚假消息给在线好友，导致在线好友上当。

6.盗取游戏“传奇”的各种信息，将盗取的信息发送到可配置的指定邮箱。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“美女杀手(Trojan.Legend.Syspoet.b)”病毒。 该病毒采用VC++(SDK)编写，是一个通过 *** 传播的病毒。

一、病毒评估

1．病毒中文名： *** 女友

2．病毒英文名：Worm.LovGate.v. ***

3．病毒大小：53,248 字节

4．病毒类型：蠕虫病毒

5．病毒危险等级：★★★★

6．病毒传播途径： ***

7．病毒依赖系统：WINDOWS9X/NT/2000/XP

二、病毒的破坏

利用 *** 发送诱惑信息，导致用户上当。病毒发送一些诱惑新的文字和链接给在线的好友，致使不明真相的用户上当。

三、病毒报告

1.复制自己到系统目录：

%SYSDIR%\internet.exe

%SYSDIR%\svch0st.exe

2.修改如下注册表键值： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

Network Associates,Inc. = INTERNET.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

S0undMan = %SYSDIR%\SVCH0ST.EXE 3.病毒运行后将建立一个HTTP服务器，监听TCP端口20808

该功能将响应远程的下载请求，将本地的病毒文件复制到远程机器。

4.病毒搜索 *** 聊天软件，向在线的好友发送诱惑信息，内容如下：

“你是那样地美，美得象一首抒情诗。你全身充溢着少女的纯情和青春的风采。

留给我印象最深的是你那双湖水般清澈的眸子，以及长长的、一闪一闪的睫毛。

像是探询，像是关切，像是问候。

这是你需要的东西：

下载地址1

http://*.*.*.*：：20808//%DRIVE%c:\\filename.exe

下载地址2

http://*.*.*.*：：20808//%DRIVE%c:\\filename.exe”

上面的内容头部也可能为下列之一： 其实，我更先认识你是在照片上。照片上的你托腮凝眸，若有所思。那份温柔、那份美感、那份妩媚，使我久久难以忘怀 远远地，我目送你的背影，你那用一束大红色绸带扎在脑后的黑发，宛如幽静的月夜里从山涧中倾泻下来的一壁瀑布。 你蹦蹦跳跳地走进来，一件红尼大衣，紧束着腰带，显得那么轻盈，那么矫健，简直就像天边飘来一朵红云。 你笑起来的样子最为动人，两片薄薄的嘴唇在笑，长长的眼睛在笑 春花秋月，是诗人们歌颂的情景，可是我对于它，却感到十分平凡。只有你嵌着梨涡的笑容，才是我眼中最美的偶象。 你其有点像天上的月亮，也像那闪烁的星星，可惜我不是诗人，否则，当写一万首诗来形容你的美丽。 你是一尊象牙雕刻的女神，大方、端庄、温柔、姻静，无一不使男人深深崇拜。 在风吹 *** 的散发时，我简直着魔了：在闪闪发光的披肩柔发中，在淡淡入鬓的蛾眉问，在碧水漓漓的眼睛里……你竟是如此美丽可人！ 你是花丛中的蝴蝶，是百合花中的蓓蕾。无论什么衣服穿到你的身上，总是那么端庄、好看。 你那瓜子形的形（编者注：该字疑为病毒作者笔误），那么白净，弯弯的一双眉毛，那么修长；水汪汪的一对眼睛，那么明亮 其中*.*.*.*为本机地址，%filename%为下列之一： c:\setup.exe c:\hello.exe c:\flash c:\123456.exe c:\pass.exe c:\game.exe c:\my_photo.exe c:\update.exe c:\mp3.exe c:\666666.exe 这些都是病毒本身。

5.鉴于该病毒的特殊性，尤其是女性的使用 *** 的用户，请看到上述信息时请不要上当。

四、病毒解决方案：

1.进行升级

瑞星公司将于2004年3月12日当天进行升级，升级后的软件版本号为16.17.20,该版本的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和 *** 版的用户可以直接登陆瑞星网站

2.使用专杀工具

鉴于该病毒的危害性比较严重，瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具，

3.使用在线杀毒和下载版

用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径

4.打 *** 求救

如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救 *** 。

5.手动清除

⑴打开任务管理器查看是否存在进程名为： INTERNET.EXE或SVCH0ST.EXE,终止它

⑵打开注册表编辑器，删除如下键值： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

Network Associates,Inc. = INTERNET.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run

S0undMan = %SYSDIR%\SVCH0ST.EXE ⑶将%WINSYS%目录下的文件： SVCH0ST.EXE和SVCH0ST.EXE删除

注：%WINSYS%位Windows系统的安装目录，在win9x,winme,winxp下默认为：C:\WINDOWS\SYSTEM,win2k下默认为：C:\WINNT\SYSTEM32。

五、安全建议：

qq病毒

1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

3.经常升级安全补丁。据统计，大部分 *** 病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、 *** 天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

4.使用复杂的密码。有许多 *** 病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.更好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报，这样才能真正保障计算机的安全。

什么是盗号木马和 *** 尾巴病毒？

就是黑客从一些电脑上编载的程序，然后经过恶意侵入你的电脑，来牟取利益。盗号。尾巴是你聊天是后面带的木马网站的网址，可以把他们清楚掉。