黑色海岸线论坛 - Powered by Discuz! Board

标题: 通过QQ即可控制电脑全球首个QQ木马25日突现 [打印本页]

作者: FBI007FK 时间: 2004-5-25 21:09 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

如果收到这样的QQ信息：“掉线了？wsdgs”，然后系统无故重启，那么这个跟你聊天的“好友”就是一个恶意攻击者，你的系统已经被“QQ叛徒”病毒所感染。5月25日，瑞星全球反病毒监测网率先截获一个可利用QQ控制的木马，并将其命名为“QQ叛徒”(Trojan.QQbot.a)病毒。
　　据瑞星反病毒部门负责人蔡骏介绍，这是全球首个可以通过QQ控制系统的木马，感染该病毒之后，表面上看不出系统有任何异常，这些病毒QQ信息中大部分含有“wsdgs”特殊字符，该病毒会造成强制系统重启、被迫下载病毒文件、抓取当前系统屏幕等等危害。
　　蔡骏介绍说，当QQ好友向你发送“你好啊！wsdgs@@1234567&&(@@之后的字符可变)”时，病毒就会共享系统的C盘；而“死机了？wsdgs”则会让系统关机，“掉线了？wsdgs”则会让系统重启，“冷语打芭蕉”会让你的QQ关闭。通过发送不同的QQ消息，攻击者可以进行多种非常危险的攻击性操作。
　　根据瑞星反病毒部门的分析，这个病毒的远程控制思路非常简单：病毒会随时检测QQ接收到的消息，当出现特殊的字符时，则进行相应的操作。传统的木马要进行控制必须开辟新的端口，被发现的可能性很大；而“QQ叛徒”这样的控制方式在防火墙看来是合法的，可以使大多数防火墙失效，相对来就更危险。
　　蔡骏提醒广大用户，当在使用QQ时，如收到含有“wsdgs”字样的信息，已经表明你已经中毒，此时应该立刻进行杀毒工作。为了防治系统被感染，广大用户应在第一时间升级杀毒软件，瑞星公司将在5月25日下午进行升级，瑞星杀毒软件16.28.10版即可彻底查杀此病毒。如果手中没有杀毒软件的用户，可以直接到瑞星网站下载其QQ专杀工具http://it.rising.com.cn/service/technology/RS_QQMsender.htm。此外，用户还可以随时拨打瑞星反病毒急救电话：010-82678800来寻求帮助。(人民网IT频道)来源：人民网

作者: cy0361 时间: 2004-5-25 21:46 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

这么严重啊那这个木马是通过什么方式、什么手段，入住你的电脑的呢？

作者: ZBYHW 时间: 2004-5-25 22:16 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

谢谢楼主的提供，以后地小心拉

作者: lp乌鸦 时间: 2004-5-26 09:07 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

啊？！真的吗

作者: Hayes 时间: 2004-5-26 12:22 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

还好还没收到这样的信息,不过要防范一下了.

作者: 奈何桥 时间: 2004-5-26 12:42 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

是出于黑客之手吗？

作者: X阿诺 时间: 2004-5-26 13:21 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

发自哪个国家?最早是什么时间发布的?
我要了解.更多的消息!!
QQ:66305905
谢谢!

作者: FBI007FK 时间: 2004-5-26 13:46 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

可以直接到瑞星网站下载其QQ专杀工具http://download.rising.com.cn/zsgj/RavQQMsender.exe

作者: FBI007FK 时间: 2004-5-26 13:55 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

下面引用由X阿诺在 2004/05/26 01:21pm 发表的内容：
发自哪个国家?最早是什么时间发布的?
我要了解.更多的消息!!
QQ:66305905
谢谢!

发现日期：2004-5-25 10:32:32
简介：该病毒使用delphi编写，采用ASpack压缩，是一个通过监视QQ的消息来进行远程控制的木马。
一、病毒评估
1．病毒中文名： QQ叛徒
2．病毒英文名：Trojan.QQbot.a
3．病毒别名：无
4．病毒大小：659456字节
5．病毒类型：木马
6．病毒危险等级：★★★★
7．病毒传播途径：网络
8．病毒依赖系统：Windows 95 Windows 98 Windows ME Windows 2000 Windows XP
二、病毒技术细节：
该病毒使用delphi编写，采用ASpack压缩，是一个通过监视QQ的消息来进行远程控制的木马。一旦运行，病毒将执行下列操作：
1.病毒将修改注册表，添加"registry" = "%CURBASE%\%CURFILE"到键值：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run下，这样病毒就可以随系统自启动。
2.病毒通过监视QQ的接收消息来响应远程控制端的操作：
病毒可以执行的操作包括：上传、下载、执行文件，共享硬盘，关闭、重启计算机，抓屏并发送EMail，通过进程名或ID来终止进程的运行，关闭、卸载木马等。
3.病毒的远程控制端通过生成相应的QQ消息来控制其服务端，发送的消息跟病毒进行的操作对应如下：
"去看看！wsdgs!!@@iXT 3;lGim OKdrk uLL&&ldUimlw$$"->此发送的消息为下载木马网址；（@@后面是随机字符）
"我看看！wsdgs@@0/$s^t&&"->此消息为从染毒机器中下载文件；
"你好啊！wsdgs@@1234567&&"->此消息为共享C盘；
"去试试！wsdgs@@iXT 3;lGim OKdrk uLL&&"->此消息执行文件；
"死机了？wsdgs"->关机；
"掉线了？wsdgs"->重启；
"在干嘛？wsdgs!!"->抓屏并Mail；
"还在啊？wsdgs!!"->列举进程并Mail；
"怎么了？wsdgs@@1234&&"->关闭进程；
"冷雨打芭蕉"->关闭对方QQ；
"江湖一剑飘"->关闭木马；
"天涯任逍遥"->卸载木马；
三、解决方案：
1.进行升级
瑞星公司将于当天进行升级，升级后的软件版本号为16.18.10，该版本的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（http://www.rising.com.cn/）下载升级包进行升级，或者使用瑞星杀毒软件的“智能升级”功能。
2.使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径，用户可以登陆网址：http://online.rising.com.cn/来使用在线杀毒产品，或者登陆网址： http://go.rising.com.cn/来使用下载版产品。
3.打电话求救
如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！
四、安全建议：
1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。
2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。
3.经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。
4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。
5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。
6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。
7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报，这样才能真正保障计算机的安全。
报告人：caijun

作者: X阿诺 时间: 2004-5-26 17:40 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

谢谢，辛苦了！

作者: 飛鳥 时间: 2004-5-26 17:55 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

这也太强了~

作者: 孤狗 时间: 2004-5-28 21:40 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

哈~~~~~~~
这个木马牛`
有时间要研究研究`

作者: lgfboy 时间: 2004-5-28 22:20 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

哎，，可是攻击过程是怎么实现的呢？？

作者: 壁虎 时间: 2004-5-28 22:23 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

那前提是我得先中“QQ叛徒”这个木马，对方才可以通过消息来进攻我。
我没中“QQ叛徒”木马别人发此类消息肯定无效，大家也不用太着急，不是说发一个此类消息给你的QQ就会中木马，它还没那本事。
如果像以前RPC漏洞那样，发个代码给你就让你重启的话那就麻烦了，那真没人敢用QQ了。

作者: sky-peng 时间: 2004-6-3 13:47 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

以后要小心点了，谢谢提醒

作者: 护站使者 时间: 2004-6-6 00:01 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

这不是真的啊

作者: wyh 时间: 2004-6-8 08:18 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

那有这个木马下

作者: skytear 时间: 2004-7-23 10:37 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

顶啊!

作者: 飞一般蜗牛 时间: 2004-7-23 15:57 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

太重要了谢谢楼主

作者: kaka123 时间: 2004-7-25 11:52 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

一个木马罢了，只是专门利用QQ而已

作者: Netyang 时间: 2004-7-27 10:44 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

瑞星网站下载其QQ专杀工具:http://it.rising.com.cn/service/technology/RS_QQMsender.htm
我顶～

作者: hotlove 时间: 2004-7-27 14:16 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

这么牛，我真佩服那位高手，可惜没留下联系地址

作者: 我曾忘记密码 时间: 2004-8-8 21:19 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

下面引用由kaka123在 2004/07/25 11:52am 发表的内容：
一个木马罢了，只是专门利用QQ而已

没有脑子的你！我鄙视你！

作者: 我曾忘记密码 时间: 2004-8-8 21:20 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

我能提供这个木马.........
有前提条件...............

作者: linkin 时间: 2004-9-19 23:35 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

谢谢终于知道是怎么回事了

作者: lica 时间: 2004-9-24 10:49 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

谢谢了，知道。

作者: 寒月 时间: 2004-9-28 15:05 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

说啊

作者: falconli 时间: 2004-10-14 16:40 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

厉害呀~~~
可是我还没见过~!

作者: kunmuc 时间: 2004-10-18 12:01 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

真的吗？？
厉害呀~~~~~~~~~~~~~~

作者: cl2008 时间: 2004-10-18 12:22 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

现在不是已经被查杀了吗

作者: li899 时间: 2004-10-19 10:42 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

好恐怖哦。。那我以后上QQ要小心咯。。。

作者: yxzld 时间: 2004-10-21 12:42 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

请问楼住我用的金山杀毒软件能杀这个木马吗?

作者: hongzhiqi 时间: 2005-3-16 09:13 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

难得找到这么好的网站啊!~~~
我来晚了啊,郁闷哦!
不过我顶!

作者: 狰狞的怪 时间: 2005-3-16 16:10 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

自己给自己发控制信息卸载了木马不就得了

作者: fanzi 时间: 2005-3-16 20:53 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

什么时候的事拉。。

作者: 笨鸟先飞 时间: 2005-3-17 19:39 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

多谢提醒

作者: aiyayaya 时间: 2005-3-22 00:21 标题: 通过QQ即可控制电脑全球首个QQ木马25日突现

谢谢分享!!!!!!!!

欢迎光临黑色海岸线论坛 (http://bbs.thysea.com/)