QQ爱虫病毒

同事说,诺顿报警了.晕,又中毒了,这段时间,我要成为杀毒手了.

来到他的电脑上,问他什么时候更新的病毒码,他说没更新过,唉,这样怎么可能不中毒呢,给他们千交待万交待了,将在线更新做好快捷图标放在桌面上,让他们最多两天点一次,就是不听话.呆会儿,我一定要做个任务,让每台电脑强制制执行这个更新程序.

闲话少说,我迅速地将诺顿在线更新了一下,再进入安全模式下杀毒,病毒报告是W32.Qdens.A,将查出来的病毒全部杀除,乖乘,那个Vmimgr.exe居然无法删除,是个什么东东呀？ 我将它输入到GOOGLE中查了一下,一查就着,下面是江民的报告:http://www.jiangmin.com/News/jiangmin/virusinfo/newvirus/2005524165355.htm

病毒名称：I-Worm/QQ.Porn
病毒大小：20480，upx压缩
传播方式：网络传播
危害程度：**
 
此病毒为蠕虫病毒，通过在线QQ发送病毒文件。病毒运行后会从黑客网站下载另一病毒（Backdoor/Jieba.2004），后者可以捕获Win9x/Win2k/WinXp下的几乎所有普通窗口的登录密码, 如: OICQ/QQ, ICQ, Outlook,
Foxmail, 电子邮箱, 网吧上网账号, 软件注册码、各种游戏软件, 各种财务软件, 各种管理软件, 拨号上网, 共享目录, 屏保等等, 以及各种在网页的登录密码, 如: Web邮件, 江湖论坛, 聊天室, 密码保护资料等。
感染过程：
(1) 如果病毒被执行，会生成以下文件，其存路径为：
病毒运行后，将创建下列文件：
%SystemDir%/wbem/dhelp.dll, 20480字节
%SystemDir%/dhelp.dll, 20480字节
%SystemDir%/wmimgr.exe, 20480字节
(2) 从黑客网站下载Backdoor/Jieba.2004并保存为：
%SystemDir%/comime.exe, 49576字节
%SystemDir%/msinthk.dll, 6656字节
(3) 在注册表中添加下列启动项：
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"mssysint" = comime.exe
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Windows Management Instrumentation" = wmimgr.exe
这样，在Windows启动时，病毒就可以自动执行
(4) 病毒通过修改以下注册表键值，达到用户无法手工修改注册表和使用任务管理器的目的：
[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableTaskMgr" = 1
[HKEY_CURRENT_USER/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System]
"DisableRegistryTools" = 00000001
(5) 显示以下虚假信息，欺骗用户：
>   
(6) 创建两个定时器，每隔一定时间查找QQ聊天消息窗口并向所有在线用户发送病毒文件，带毒文件扩展名为.jpg.exe,带毒文件名为以下字串之一：
绝色倾城MM秀
<<少妇波大，顶不住>>
美女激情大暴光！！！
美女发现被偷拍后，竟然做出如此激烈的反应……
广州某航空公司MM军训照片
........
........
解决方案：针对该病毒江民公司在第一时间升级了病毒库，用户只需将KV江民杀毒系列软件智能升级到2005年05月23日最新版本，开启起七套实时监控系统，即可将此病毒有效的杀死在系统之外，确保电脑不受病毒的侵扰。更多资讯请登陆江民网站查询：

我查杀病毒后只剩下这个vmimgr.exe,而根据报告,它又是新添加入注册表的,所以我也不想下载什么江民专杀了,决定自己试过再说,就是把注册表里的vmimgr.exe&&comime.exe两个键给灭了,再把那些也改了.运行栏里输入regedit,哦哦,没反应,晕,忘了病毒已经改过注册表,现在已经无法手工修改注册表了,还有就是任务管理器也已禁用.我按下Ctrl+Alt+Del,果然没有弹出想要的任务管理器窗口.

呵呵,我可不会轻易气馁,你能改,我就不能改回来吗?上次玩电脑时记得组策略里有修改有关系统设置的相关项,进去查查先,不多久,就找到了:组策略/用户配置/管理模板/系统/Ctrl+Alt+Del选项,双击打开有四个选项,删除任务管理器--未配置,哦,怎么不是启用?不管它,反正给它设置为禁用.其它那三项也给它改了下.试了试,嗯,任务管理器可以打开来了.接下来又找了找注册表的,也在Ctrl+Alt+Del选项的同级目录下,阻止手动修改注册表,也给它一个禁用.在运行栏里输入了下,呵呵,OK.

好了,接下来的事就简单了,就是进入注册表,把下面那两个键值删去.
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] "mssysint" = comime.exe
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] Windows Management Instrumentation" = wmimgr.exe

我晕,只有下面的vmimgr.exe,没有上面这个comime.exe,找了Windows NT路径下面的,也没有.呵呵,没有就没有,说不定这东东简单点,没有生成这个EXE.
再次杀毒,OK,没问题,运行QQ十几分钟,询问了下Q友,呵呵,当然大功告成了!