北京信息安全中心毒霸联合发布4.01热门病毒

北京信息安全中心毒霸联合发布4.01热门病毒

2004年04月01日11:12:29　金山毒霸安全资讯网　

　　北京信息安全测评中心、金山毒霸联合发布2004年04月01日热门病毒

　　据金山毒霸反病毒实验室介绍，今日提醒用户注意以下病毒：

　　“书虫”(Troj.QQmsgBook.b)利用QQ进行传播的木马。获得QQ窗口上的用户信息，按照模板填写消息并发送出去。消息格式如下： XXX，你好呀!很久没见你上线了!今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧，跟你的QQ网名一样，也叫“XXX”。不会就是你写的吧？挺有才的嘛，呵呵！写得不错，下载看看吧！点击下面这个地址可以下载这本书：http://www.book.cn.gg/。从而通过QQ好友进行传递。请及时打IE补丁，并升级金山毒霸查杀该病毒。以下是病毒详情：

　　病毒信息：

　　病毒名称: Win32.Troj.QQmsgBook.b
　　中文名称: 书虫
　　威胁级别: 2C
　　病毒别名: 极品毛毛虫
　　病毒类型: 木马
　　受影响系统: Win9x/Win2000/WinXP/Windows Server 2003

　　技术特点：

　　1、传播方式：搜索QQ消息窗口，伺机发送带病毒网址的信息给QQ好友。

　　2、系统修改:
　　　 A、自我复制到系统目录和安装目录
　　　　　%Windir%\taskmgr.exe
　　　　　%system%\noteped.exe

　　　 B、添加以下键值
　　　　　"WinDir" = "%WinDir%\taskmgr.exe" 到
　　　　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　　　　以便病毒可随机自启动

　　　 C、修改注册表替换TXT文件关联，在打开文本文件时运行病毒
　　　　　HKEY_CLASSES_ROOT\txtfile\shell\open\command
　　　　　"默认" = "Noteped.exe %1"

　　　 D、修改注册表更改Internet Explorer的主页
　　　　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\
　　　　　"Main" = "http://www。AllJapaneseArePigs。com/"

　　　 E、病毒会向好友发送以下信息，其中“%USER%”会被病毒替换为QQ好友的ID

　　　　“你好啊，%USER%，今天我在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者
　　　　　的名字很巧，跟你的QQ网名一样，也叫“%USER%”不会就是你写的吧？挺有才的嘛，呵呵！
　　　　　点击下面这个地址可以下载这本书：http://www.book.cn.gg/”

　　　　“1937年12月13日，300000南京人民被侵华日军集体大屠杀！！！所有的中国人都不应忘记这
　　　　　个日子，从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史台湾是中国
　　　　　不可分割的一部份!!!，请你将此消息发给你QQ上的好友!”

　　　　“你好呀!很久没见你上线了!今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的
　　　　　作者的名字很巧，跟你的QQ网名一样，也叫“%USER%”不会就是你写的吧？挺有才的嘛，呵
　　　　　呵！点击下面这个地址可以下载这本书：http://www.book.cn.gg/”

　　解决方案:

　　· 金山毒霸已经于3月31日对该病毒进行了处理，请升级最新版可完全查该病毒；

　　· 在收取邮件和在线聊天时不要轻易打开陌生人传来的文件，如果有必要打开，请使用最新病毒
　　　库的反病毒软件检测后再打开；

　　· 强烈推荐各位网络用户将浏览器“Internet Explorer”升级到6.0，并打上最新补丁，可防止
　　　病毒的自动感染。以下是IE的最新补丁地址：
　　　 http://www.microsoft.com/technet/security/bulletin/ms04-004.mspx

　　· 手工解决方案：
　　　
　　　首先，若系统为WinXP，则请先关闭系统还原功能；
　　　（毒霸论坛：反病毒可能需要用到的方法及操作 > 如何禁用Win Me/XP的“系统还原”功能）

　 对于系统是Windows9x：

　　步骤一，删除病毒主程序
　　请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为
　　C:\windows\），分别输入以下命令，以便删除病毒程序：
　　C:\windows\>del taskmgr.exe

　　然后转到WINDOWS系统目录（默认的安装目录为C:\windows\system），输入以下命令，以便删
　　除病毒程序：
　　C:\windows\system>del noteped.exe

　　完毕后，取出系统软盘，重新引导到Windows系统。
　　如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。

　　步骤二，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run
　　在右边的面板中, 找到并删除如下项目：
　　"WinDir" = "%WinDir%\taskmgr.exe"

　　恢复TXT文件关联
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_CLASSES_ROOT>txtfile>shell>open>command
　　"默认" = "Notepad.exe %1"
　　使用IE的设置将主页恢复

　　关闭注册表编辑器。

　 对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever：

　　步骤一，使用进程序管里器结束病毒进程
　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务
　　管理器中，单击“进程”标签，在例表栏内找到病毒进程“taskmgr.exe和noteped.exe”，单
　　击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

　　步骤二，查找并删除病毒程序
　　通过“我的电脑”或“资源管理器”，
　　进入系统目录（Winnt或windows)，
　　找到文件“notepad.exe ”，将它删除，注意清空回收站内的内容；

　　步骤三，清除病毒在注册表里添加的项
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_LOCAL_MACHINE>Software>Windows>CurrentVersion>Run
　　在右边的面板中, 找到并删除如下项目：
　　"WinDir" = "%WinDir%\taskmgr.exe"

　　恢复TXT文件关联
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　HKEY_CLASSES_ROOT>txtfile>shell>open>command
　　"默认" = "Notepad.exe %1"
　　使用IE的设置将主页恢复

　　关闭注册表编辑器.