QQ尾巴

“QQ尾巴病毒”俗稱“QQ尾巴”和“QQ木馬”。

病毒類型：木馬

危險級別：★

影響平台：Win9X/2000/XP/NT/Me/Win7

Trojan/QQMsg.FakeUpdt隨機發送一些消息。

傳播過程及特徵：

1.病毒運行後，將創建下列文件：

%WinDir%\winsoft, 43008字節。

%WinDir%\microsoft.exe, 43008字節。

2.修改註冊表：

/在註冊表中添加下列啓動項：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

添加鍵值："KV2004" = "microsoft.exe"

這樣，在Windows啓動時，病毒就可以自動執行。

/病毒通過修改下列註冊表鍵值，修改文件關聯：

HKEY_CLASSES_ROOT\txtfile\shell\open\command

修改為："" = "c:\windows\winsoft "%1" "

這樣，用户打開任何txt文件，都會再次運行病毒程序。

1.及時升級殺毒軟件，打開監視程序。KV的郵件監視功能可以有效攔截通過郵件傳播的網絡蠕蟲病毒。防止病毒進入系統。

2.已被此病毒感染的用户可以使用殺毒軟件最新版本直接在系統下徹底查殺。方法是先對系統內存進行掃描查殺，再對整個硬盤進行查殺。對於病毒創建的病毒體文件，殺毒軟件會自動進行刪除。

該病毒會偷偷藏在用户的系統中，發作時會尋找QQ窗口，給在線上的QQ好友發送諸如“快去這看看，裏面有蠻好的東西--”之類的假消息，誘惑用户點擊一個網站，如果有人信以為真點擊該鏈接的話，就會被病毒感染，然後成為毒源，繼續傳播。

該病毒可以突破大多數病毒防火牆，危害相當大 。

這幾天上網經常收到網友發過來的"呵呵,其實我覺得這個網站真的不錯,你看看""看看啊. 我最近照的照片~ 才掃描到網上的.看看我是不是變了樣? "這類的信息，一看就知道是"愛情之門"變種病毒。

於是登陸網站，下載了所有網頁，在裏面找到了這個病毒，病毒是作為控件運行的，也就是在你的計算機提示網絡安全對話框並且你點是的時候運行的那個．（文件名是love.exe）

病毒運行後會在你的系統中產生如下幾個文件

C:\WINNT\system32\DirectX.exe（系統隱藏）

C:\WINNT\system32\system.exe

C:\WINNT\system32\WINHELP.EXE（系統隱藏）

C:\WINNT\system32\WINhelp32.exe（系統隱藏）

C:\WINNT\system32\WinSocks.dll

C:\WINNT\intrenat.exe

在註冊表中添加如下幾項：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Intrenat: \"C:\WINNT\intrenat.exe\"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\: \"winhelp.exe\"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Intrenat: \"C:\WINNT\intrenat.exe\"

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run:\"WINhelp32.exe\"

在註冊表中修改如下：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: \"Explorer.exe\"

被修改為

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell: \"Explorer.exe C:\WINNT\system32\DirectX.exe\"

病毒運行後會有intrenat.exe和WINHELP.EXE兩個進程常駐內存（可以在任務管理器中看到）

病毒的危害與以前幾個版本大同小異

首先打開任務管理器，禁止兩個正在運行的病毒進程．然後，刪除病毒創建的文件。

注意：有3個文件是系統隱藏文件屬性，要先修改"文件夾選項"才能看到，用Windows搜索是找不到系統隱藏文件的．

註冊表做相應修改就可以了，刪掉病毒創建的鍵，修改回被修改的鍵。

Win9X系統

除了上面的，病毒可能會對system.ini和win.ini兩個文件進行修改，你可以在sysedit編輯器中改回來．

其他的應該沒甚麼差別

隨着聊天工具的日益普及，聊天工具已經成為黑客的主流攻擊手段和攻擊目標。許多黑客都盯上了這個通道，利用聊天工具的安全漏洞發起攻擊，掌握了對方的聊天工具就可能得到了管理員權限。很多網絡即時聊天工具的安全性都比較低，不需要很高水平就可以攻擊成功。國內人們常用的即時通訊軟件主要有騰訊的QQ、網易的泡泡、新浪UC、微軟的MSN、ICQ、IMU即時通、雅虎通(Yahoo! Messenger)、Trillian 等，這裏主要將用户最多的QQ安全問題和黑客攻擊手段作一介紹。　QQ是騰訊公司推出的一款免費聊天工具，網上已經出現了QQ2005賀歲版，QQ軟件的主要用途是進行聊天。因為功能眾多，大部分功能又是免費的，所以在國內成為用户最多的聊天工具，在線人數經常是幾百萬，到2004年底，在線用户最高峯已經突破1000萬大關，因此成為黑客光顧的重點對象。

本文從黑客對QQ的攻擊方法入手，找出攻擊的共性，從而更好地進行防禦。

盜取QQ號碼的方法有攻擊弱口令和在公用計算機上安裝鍵盤記錄工具記錄密碼，或者向用户發送木馬，利用工具盜取口令。

弱口令攻擊就是利用QQ密碼窮盡軟件，在線嘗試可能的密碼組合，如果密碼位數很短，如6位以下，或者密碼是全數字或一個英文單詞等有明顯特徵的情況，就很容易被窮盡軟件找出，對付這種攻擊的辦法就是使用盡可能複雜的密碼，像字母和數字的組合，密碼長度要至少8位以上等。

在很多公用計算機尤其是網吧的計算機上都被安裝了鍵盤記錄工具，當計算機開啓後，從鍵盤上健入的每一個字符都被完整地記錄下來，黑客只要查看記錄文件，就不難從中找出QQ號碼和對應的密碼。對付這種攻擊的辦法是在輸入密碼時，鍵盤和鼠標並用，利用鼠標調整密碼的輸入順序就可以，如果你的密碼有8位以上並且密碼的每個字符都不相同，即使黑客知道了你全部的密碼字符，也不足慮，想一想8的階乘8*7*6*5*4*3*2*1=40320，已經夠黑客窮盡很長時間，另一條原則是在網吧上網後，要記得修改密碼，增大自己的安全係數。

還有一種方法是利用用户貪便宜的心理，盜取QQ號碼。最著名的是下面這樣一次欺騙。在某些論壇上有人發佈這樣的貼子,聲稱幾個黑客成功的潛入了騰訊公司的主頁並得到了一些有價值的數據和漏洞。原理是進入騰訊公司的主頁後，他們在服務器上搞了個可以自動讀取指令的號碼QQ*******：，公司的管理員就是通過發指令給這樣QQ來完成比較簡單的工作的(比如説收回QQ和找回密碼等等)這個QQ的號碼是：**********騰訊公司為了 不引起大家的注意，所以這個QQ比較普通，這個QQ一般隱身，向此QQ號碼發代碼 {Jerusalum/PLO********}{Vesselin Bontchev@@@@}{FRALDMUZK ###} *****填上QQ號碼，@@@@填上QQ密碼，###填你申請Q幣的個數 ，就可以等着收Q幣，還可以得到好號。貪便宜想得到QQ幣的用户，把自己的號碼與密碼都發給了此人，號碼自然被人盜走。

騰訊公司推出的QQ號碼手機綁定功能可以一勞永逸地解決QQ號碼的盜取問題，美中不足的是這是一項收費服務，對那些想免費使用QQ軟件的朋友是一項不小的挑戰。

實際案例是某QQ用户的手機號碼於10月31日收到來自977702XX774或1700002XX774的下列信息：“恭喜你成功訂閲了XXX業務每月將收取服務費30元，退訂請編輯DQ01#EXIT80發送至921X”。 短信內容中的“DQ01#EXIT80發送至921X”實際是某個網站的訂製某遊戲業務中獲取秘籍的指令，目的是讓用户收到此信息後，以為自己曾訂製過某項業務，為了不再被收取費用，急急忙忙按照短信內容發送“退訂”;此時用户正中陷阱，原以為是退訂業務，反而變成定製業務，導致自己的手機費用受到損失。

如果成功盜取到其他用户的QQ號碼，自然能夠看到其他用户的信息，如果沒有，則在公用計算機上可以看到在本機上用過QQ軟件的其他用户的信息，如聊天記錄、好友信息等。藉助軟件可以脱線登錄其他用户QQ號碼，並察看聊天記錄和好友信息。

上面的幾個方面只是侷限在對QQ的攻擊，而黑客做的更多的是藉助QQ，進一步控制用户的計算機。最流行的是QQ尾巴病毒。QQ尾巴病毒就是在用户系統中悄悄運行的一個程序，通過用户的QQ給對方發消息，而且這種消息發送是自動進行的，其中帶有一個程序或一個惡意網站的網址，對方收到消息後，由於是好友發過來的，往往會毫不猶豫地點擊那個網址或程序，就會被惡意代碼、病毒攻擊，系統被改得面目全非。然而因為消息是好友給發過來的，成功的概率很高，這就使得QQ病毒大肆流傳。但這種病毒也有其自身的弱點，就是病毒信息是對方發過來的第一個信息，對好友的第一個信息稍加註意，並向好友證實後再點擊，就能夠很好地預防QQ病毒的攻擊。

自QQ2003II之後，增加了一項“瀏覽好友共享文件”功能，一台機器設了共享，其他機器都可以訪問它。如果這台機器給其中的某個目錄設置了完全共享，其他機器既可以訪問瀏覽這個目錄，又可以對這個目錄中的文件進行修改、創建、刪除操作。在設置共享的時候還可以使用密碼，讓其他人通過密碼來訪問，或者使用控制權限的方法讓某台指定的機器訪問。QQ的“瀏覽共享文件”功能就是這個意思。這個功能把你的機器與你的好友的機器通過QQ、利用互聯網組成了一個“大局域網”。局域網中有隻讀共享和完全共享的概念，但是在QQ的共享中據説都是隻讀共享。但是否存在能夠通過其它途徑改為完全共享，還不得而知。這就需要用户不要隨便添加好友，好友對用户機器有一定的操作權限。

其它對QQ進行攻擊的手段還有很多，這裏就不再一一列舉，對其它的聊天工具也都存在不同程序的黑客攻擊行為，進行聊天的用户往往是毫無安全意識的普通用户，這就導致了對聊天軟件的攻擊大肆流行。

移動便攜網絡接入設備名稱提示

由於智能手機以及平板電腦的普及，QQ的上網終端也越來越多樣（不僅限於QQ其他網絡應用也一樣），例如：iphone用户在於好友交談時，在交談的正文結束後會跟一句:(通過 iphoneQQ 發送詳情訪問···)。這一句關於使用設備的名稱的提示叫QQ尾巴。該尾巴不具破壞性。