症状描述:今天上网后不久,就接到多位QQ好友的狂骂自己的信息,弄得我莫名其妙。一打听才知道,他们纷纷收到我QQ发送的各种乱七八糟的信息,并且随消息还附带有病毒文件。并且病毒文件的名称也五花八门,搞得我莫名其妙,难道QQ被盗?www.sq120.com推荐文章
于是重新申请一个QQ号,加上好友,结果不出3分钟,就收到接收文件的请求。而且是带有病毒的文件。难道是我的QQ被病毒袭击了?联想到前几天在安装一个从网上下载的程序时,弹出一个错误窗口。当时就觉得不对劲,于是马上进行杀毒,可是并没有发现任何病毒,现在看来一定是这个程序在“捣乱”。
查找线索:打开任务管理器查看,发现一个名为“Rundll32.exe”的进程。普通的应用程序很少调用Rundll32.exe,最常使用Rundll32.exe的就是一些流氓软件,或木马后门,看来这个Rundll32.exe最为可疑。
点击“开始”菜单中的“搜索文件或文件夹”命令,接着搜索“Rundll32.exe”这个关键词。结果在系统目录的SYSTEM和SYSTEM32文件夹中同时发现了Rundll32.exe的踪影。wwW.iTCoMpUTER.coM.cN通过对文件图标的分辨很快我就找到了可疑的文件,因为假的Rundll32.exe居然采用了WINRAR的图标。
查找到可疑的文件后,我开始准备查找病毒的启动项。运行注册表编辑器,同样搜索“Rundll32.exe”这个关键词,结果没有发现可疑的启动项。既然没有发现可疑的启动项,我决定开始清除病毒,重新启动系统再检查系统进程,并没有发现Rundll32.exe这个进程,当我启动QQ正准备向朋友报喜的时候,那个“可恶”的进程又出现了。
清除病毒
看来这个QQ病毒并没有想象的那么简单,一定是采用了文件保护的技术,这样当其中一个文件被删除以后,其他的文件马上就会生成一个Rundll32.exe文件的副本。通过刚才的观察和先前的检查,我觉得这个QQ病毒并不是随系统启动的,而是跟着QQ的启动而启动的。于是马上来到QQ的安装目录,检查后又发现一个采用WINRAR为图标的文件,名称为“TIMPlatform.exe”,除此以外还发现一个名为“TIMP1atform.exe”(注意是1不是L)的文件。
TIMPlatform.exe(注意不是1)是QQ和TM共同使用的外部应用开发接口管理程序,属于QQ 2004版,开始就成为不可或缺的底层核心模块。通过对文件属性的查看,发现“TIMP1atform.exe”这个文件是由腾讯开发的。看来这个QQ病毒通过将正规的“TIMPlatform.exe”改名为“TIMP1atform.exe”,而将病毒本身替代了QQ中的该程序。
为了彻底地清除病毒,我通过系统搜索功能利用“TIMPlatform.exe”的时间属性对系统进行搜索,结果又发现了两个文件。首先结束Rundll32.exe这个进程,接着将刚刚发现的两个文件及Rundll32.exe、TIMPlatform.exe删除掉。然后将病毒修改的“TIMP1atform.exe”还原为“TIMPlatform.exe”。
最后再次对系统进行检测,发现注册表中文本文件和可执行文件的关联被更改了,马上通过超级兔子对它进行修复,最终成功的将该病毒从系统中完全清除。
随着QQ用户的逐渐增多,QQ也成为越来越多病毒的温床。其实,稍微有些编程能力的用户就能编写类似的病毒,即使是不能编写也可以通过改造别人编写的病毒来进行传播。这也使得这类病毒体积越来越小,功能越来越多,各种新病毒或变种层出不穷,所以使得现在很多的杀毒软件疲于应付,也很难在第一时间进行查杀。
王强在检查可疑文件时,首先从系统目录着手,在没有彻底清除病毒时,对其他相关目录进行了检查,最终成功清除病毒本身。大家面对这种病毒危害的时候还可以使用杀毒软件厂商开发的专杀工具进行查杀。比如QQ大盗查杀工具、QQKAV、QQ尾巴专杀工具等,都可以很容易的对付这些常见的QQ病毒。
如何查看msn聊天记录
微软MSN凭借着自己的各方面的优势,深受白领MM的青睐。MSN还被广泛的应用到局域网,供内部人员的信息交流,不过在方便的同时也有不便之处,MSN在信息的传输过程中加密不够严密,入侵者可以通过一些嗅探软件,来获取在局域网内传输的信息。那么MM们在面对这些偷窥的眼睛时应该怎么办呢?本期来自湖南的英雄周航将为MM支招,遮住偷窥MSN的眼睛。www.sq120.com推荐文章
局域网背后的眼睛
星期一,大家又开始了火热朝天的工作。我隔壁格子的MM突然大叫一声:“周航,快看看,我的MSN消息被人给偷看了,刚才有一个同事把我和别的同事的MSN聊天记录发给我了。”一向就对柯MM有好感的我能不乘机展示一下才华吗?我顾不上自己的工作便为柯MM做起网络安全顾问来了。
走到柯MM的格子里开始检查起电脑,发现任务管理器内并没有什么可疑的进程。其他的地方也没什么不对。这会让我下不了台嘛!我紧张了,额头直冒汗,于是问道“你接收或下载过什么程序没?”“我有那么菜吗,我接收下载文件都是经过层层扫描的!”柯MM自豪的回答。
是什么原因呢?怎么这么蹊跷?赶紧去查查资料,可不能够在柯MM这里丢脸。经过我的努力终于知道是什么原因导致柯MM的消息被人嗅探到了。我便胸有成竹的走到柯MM电脑旁开始充当老师的角色。
“其实,你的电脑并没有中病毒或木马程序,你这么小心怎么会中招呢。我们所处的局域网内有人使用嗅探工具,嗅探到你的消息,由于MSN Messenger命令使用纯ASCII码,对非ASCII码字符使用URL编码。他们只要借助嗅探软件或其他的网络管理软件就能获取同一局域网内所有正在使用的MSN账号传输的信息,并且在局域网内传输的MSN信息内容都将被完整地记录下来。” “哇,原来是这样,那怎么才可以嗅探别人的信息和防范别人的攻击呢?”原来柯MM也对是嗅探别人的信息十分感兴趣,作为她的网络安全顾问我怎能袖手旁观呢?不过我们事先说好了不做违法的事。
MSN嗅探的使用
想嗅探局域网内传输的MSN信息内容,咱们可以借助一款名叫MSN Chat Monitor&Sniffer的嗅探软件,它可以记录局域网络中所有正在传输的MSN聊天内容和IP,嗅探到的聊天内容将以汉字显示,不需要经过任何转换过程,同时软件不但可以将聊天记录保存到硬盘还可以将聊天记录以电子邮件的形式发送给攻击者。
程序安装是傻瓜化的,安装过程中会提示安装WinPcap,因为MSN Chat Monitor&Sniffer需要配合WinPcap使用,所以我们必须安装WinPcap,以确保嗅探成功。
小提示:使用MSN Chat Monitor&Sniffer的成功有一定的条件限制。首先是在局域网中使用才有效;其次,如果局域网使用了路由器,则需要在路由器中设置一个管理端口,使用嗅探器的电脑必须由这个端口接入网络。如果不能设置管理端口,参见http://www.awinsoft.com/faq.htm的解决方法。如果局域网只使用HUB进行连接则没有这方面的要求。
为MM支招
既然直接发送MSN消息这么容易被嗅探到,如果我们传输重要信息那不就惨了。当然我们是有办法防范的。
我们可以通过SimpLite For MSN Messenger(下载地址:http://software.tech.tom.com/01/0107/2558/2558_4.shtml)对传输的MSN信息进行加密。通过软件加密的信息被嗅探到就变成了乱码,这样就蒙住了嗅探者的眼睛了。值得MM注意的是用SimpLite For MSN Messenger来加密,需要双方都安装SimpLite For MSN Messenger才能达到加密的效果。
我们如果觉得通过软件对信息加密相对麻烦,有些菜鸟MM也不能掌握。那就可以进入http://webmessenger.msn.com使用Web方式登录MSN。这就不存在被嗅探的问题,当然使用起来肯定是没有PC上的客户端那样灵活方便。
最后,我们还可以请求公司网管限制类似的软件在公司使用。当然了,如果MM经济允许,使用手机上网也能使用MSN,但是这样,银子就会像水一样流走了。
安装完后运行软件,会发现软件界面非常简洁操作也非常简单,点击“文件”菜单下的“开始键”就可以开始嗅探了。进入“选项”的“配置”窗口还能设置随系统启动、指定IP进行监听等。
稍微等一会,就嗅探出其他人的MSN聊天信息了。
我们还可以把MSN Chat Monitor&Sniffer嗅探到的信息发送到信箱里去,只要进入 “配置”的选项窗口,然后切换到“发送邮件”的选项卡中,并勾选上“起用自动邮件发送聊天记录”,在将“邮箱服务器设置”的参数设置好,确定之后软件就将自动的将聊天记录发送到指定的信箱里了。
如何杀毒防黑 杀毒方面,我见过很多人说某某杀毒软件真垃圾!不能杀毒,刚刚杀完,下次开机又出现了,根本杀不死,或者显示清除失败。其实这都是因为杀毒软件方法使用不当所造成的。www.sq120.com推荐文章
一般来说,只要杀毒软件能识别病毒(也就是能报出病毒的名称),理论上都能杀掉病毒的,只是由于很多实际原因造成不能彻底的清除病毒,通常原因是那些病毒有的开机即可启动,常驻内存,所以不能杀掉、有的是嵌入系统进程当中、有的注册为系统服务……遇到这些顽固的病毒,就需要进入安全模式查杀了。
下面是具体的方法,先把杀毒软件升级到最新病毒库,然后关闭系统还原,具体方法是:我的电脑→右键“属性”→系统还原→勾选“在所有驱动器上关闭系统还原”→确定,然后就是清空IE缓存,具体方法是:打开IE浏览器→工具→Internet选项→看到“Internet临时文件”,点删除文件按钮即可。
最后就是进入安全模式了,方法:重新启动计算机,然后一直按F8键,出现一组菜单选项,选择最上面的“安全模式”进入即可。进入安全模式后,像往常一样运行杀毒软件,全机扫描杀毒就可以了!采用这样的方法清除病毒相对来说比较干净。
最后提醒一下,一定要使用能升级的正版杀毒软件,并且开启实时监控,做到经常升级病毒库,1~2天升级一次最好。推荐选择国产的杀毒软件,因为国产的杀毒软件对国内的病毒反应速度很快。另外,QQ上的好友给你发的格式为EXE的文件要慎重打开,最好在打开之前用杀毒软件进行检测(如果大小为23KB到240KB大小的文件尤其要小心)。
From:http://www.itcomputer.com.cn/Article/Network/201309/926.html