“QQ狩猎者（QQmsg各变种）”的意思、由来-中文百科全书

危害综述

该系列病毒主要技术特点如下：

A.改进的邮件传播方式，能够随机根据收件箱中的已有邮件向外传播自己，带毒邮件的主题和内容跟原始邮件有关；将病毒副本做为附件，附件名称随机，极具迷惑性。

B.释放木马到系统目录，以服务的形式运行，服务名称模仿系统正常服务；监听端口，允许黑客控制被感染的计算机，盗取用户帐号等信息。

C.修改注册表的启动项，txt和exe文件关联，win.ini文件。

D.搜寻本地网络共享目录，通过可写的共享目录感染。

E. 猜测局域网中NT/2000/XP机器的Administrator、Guest用户密码，一旦猜中就将自己复制到对方机器，然后伪装成类似“Microsoft NetWork FireWall Services”的服务运行。

F.感染EXE文件，寄生到可执行程序的头部。

G.运行一个监控进程，当病毒终止时立即重新装载，反复重写注册表，终止一些知名的反病毒软件。

病毒特征

1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网： http://flash2.533.net "

2、当浏览带毒网站时，会利用IE漏洞，尝试新增sys文件和tmp文件的执行关联，并下载执行病毒文件 b.sys，如果IE已经打上补丁，则会弹出一个插件对话框，引诱用户安装，安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中，文件名为 "b.exe"，如果用户拒绝安装该插件，会不断弹出对话框要求用户安装。

3、复制文件:

A、复制病毒体到 %SystemRoot% 文件夹中，文件名为"Rundll32.exe"；

B、复制病毒体为 "C:\\cmd.exe";

C、试图复制病毒体到共享目录中，名为"病毒专杀.exe"和"周杰伦演唱会.exe"。

4、添加注册表启动项，以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe"

5、修改和新增以下文件关联

A、修改.exe文件的关联，每当执行exe文件时，即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\\exefile\\shell\\open\\command 修改如下键值：默认="C;\\cmd.exe %1 &*"

B、新增.sys文件的执行关联，使得在浏览带毒网站时执行病毒文件 b.sys在注册表的主键: HKEY_CLASS_ROOT\\sysfile\\shell\\open\\command修改如下键值：默认="""%1"" %*"

C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\\tmpfile\\shell\\open\\command修改如下键值：默认="""%1"" %*"

6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。

7、在Win2000、WinXP、Win2003系统中，系统文件"Rundll32.exe"就在系统目录中，因而病毒会尝试将该文件覆盖，但这几个系统都能自动保护并恢复受到破坏的系统文件，因而病毒不能正常加载，但仍可以通过EXE关联被加载.

清除方法

A、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能；

B、重新启动到安全模式下；

C、先将regedit.exe改名为regedit.com，再用资源管理器结束cmd.exe进程，然后运行regedit.com，将EXE关联修改为""%1" %*"，再删除以下文件:C:\\cmd.exe、%Windows%\\Download Program Files\\b.exe。对于Win9x系统，还要删除%SystemRoot%\\Rundll32.exe，再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会. exe"这两个文件，文件大小为11184字节，如果有，将其删除。

D、清理注册表:

打开注册表，删除主键 HKEY_CLASSES_ROOT\\sysfile\\shell\\open、HKEY_CLASSES_ROOT\\tmpfile\\shell\\ open 修改 HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command 的键值为 "%1" %*

防范措施

不要轻易点击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。

词条	QQ狩猎者（QQmsg各变种）
释义	该病毒首次大规模爆发是在今年的2月18日，2月24日又出现一个类似的变种。3月下旬，该病毒又出现3个变种，增加了猜密码的功能。5月13日，该病毒再次大规模爆发，新变种完善了已有的功能，添加了感染可执行文件，反安全软件，监控内存，盗取信息等多种能力，此后又发展了多个变种，几乎使用了两年来PE病毒常用的各种技术，成为一种继“求职信”后，典型的集传统感染型病毒，蠕虫，木马黑客程序为一体的混和型病毒。许多邮件服务器都在极短时间内不堪重负而崩溃。基本信息危害综述病毒特征清除方法防范措施基本信息常用别名：“爱情后门”，“爱之门”，LovGate等危害等级：★★★★ 危害综述该系列病毒主要技术特点如下： A.改进的邮件传播方式，能够随机根据收件箱中的已有邮件向外传播自己，带毒邮件的主题和内容跟原始邮件有关；将病毒副本做为附件，附件名称随机，极具迷惑性。 B.释放木马到系统目录，以服务的形式运行，服务名称模仿系统正常服务；监听端口，允许黑客控制被感染的计算机，盗取用户帐号等信息。 C.修改注册表的启动项，txt和exe文件关联，win.ini文件。 D.搜寻本地网络共享目录，通过可写的共享目录感染。 E. 猜测局域网中NT/2000/XP机器的Administrator、Guest用户密码，一旦猜中就将自己复制到对方机器，然后伪装成类似“Microsoft NetWork FireWall Services”的服务运行。 F.感染EXE文件，寄生到可执行程序的头部。 G.运行一个监控进程，当病毒终止时立即重新装载，反复重写注册表，终止一些知名的反病毒软件。病毒特征 1、在进行QQ聊天时会在消息中加入信息"向你介绍一个好看的动画网： http://flash2.533.net " 2、当浏览带毒网站时，会利用IE漏洞，尝试新增sys文件和tmp文件的执行关联，并下载执行病毒文件 b.sys，如果IE已经打上补丁，则会弹出一个插件对话框，引诱用户安装，安装后会将自己安装到 %Windows%Downloaded Program Files 文件夹中，文件名为 "b.exe"，如果用户拒绝安装该插件，会不断弹出对话框要求用户安装。 3、复制文件: A、复制病毒体到 %SystemRoot% 文件夹中，文件名为"Rundll32.exe"； B、复制病毒体为 "C:\\cmd.exe"; C、试图复制病毒体到共享目录中，名为"病毒专杀.exe"和"周杰伦演唱会.exe"。 4、添加注册表启动项，以随机启动在注册表的主键:HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\ CurrentVersion\\Run添加以下键值"LoadPowerProfile"="%SystemRoot%Rundll32.exe" 5、修改和新增以下文件关联 A、修改.exe文件的关联，每当执行exe文件时，即首先执行病毒预先复制的病毒文件。在注册表的主键:HKEY_CLASS_ROOT\\exefile\\shell\\open\\command 修改如下键值：默认="C;\\cmd.exe %1 &" B、新增.sys文件的执行关联，使得在浏览带毒网站时执行病毒文件 b.sys在注册表的主键: HKEY_CLASS_ROOT\\sysfile\\shell\\open\\command修改如下键值：默认="""%1"" %" C、新增.tmp文件的执行关联在注册表的主键:HKEY_CLASS_ROOT\\tmpfile\\shell\\open\\command修改如下键值：默认="""%1"" %" 6、试图偷传奇游戏的密码,并通过自带的邮件引擎以"mj25257758@263.sina.com"的名义发送到"scmsmj@tom.com"信箱中。 7、在Win2000、WinXP、Win2003系统中，系统文件"Rundll32.exe"就在系统目录中，因而病毒会尝试将该文件覆盖，但这几个系统都能自动保护并恢复受到破坏的系统文件，因而病毒不能正常加载，但仍可以通过EXE关联被加载. 清除方法 A、关闭Windows Me、Windows XP、Windows 2003的“系统还原”功能； B、重新启动到安全模式下； C、先将regedit.exe改名为regedit.com，再用资源管理器结束cmd.exe进程，然后运行regedit.com，将EXE关联修改为""%1" %"，再删除以下文件:C:\\cmd.exe、%Windows%\\Download Program Files\\b.exe。对于Win9x系统，还要删除%SystemRoot%\\Rundll32.exe，再到共享目录中看有没有"病毒专杀.exe"和"周杰伦演唱会. exe"这两个文件，文件大小为11184字节，如果有，将其删除。 D、清理注册表: 打开注册表，删除主键 HKEY_CLASSES_ROOT\\sysfile\\shell\\open、HKEY_CLASSES_ROOT\\tmpfile\\shell\\ open 修改 HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command 的键值为 "%1" %* 防范措施不要轻易点击QQ上的不明链接,不要安装来历不明的插件(如该病毒网站上所谓的"动画播放插件2.0")。
随便看	马斯喀特国际机场马斯喀特锡卜机场马斯卡丁葡萄马斯卡林瓣蹼鹬马斯卡彭蛋糕卷马斯卡彭奶酪马斯卡彭芝士提拉米苏马斯卡普马斯卡普尼干酪马斯开特马斯康电子有限公司马斯柯莱马斯科卡湖群马斯科罗马斯科瓦奇文化学院马斯克林海岭马斯克林狐蝠马斯莱拉马斯亮马斯隆萨斗牛区马斯鲁尔马斯伦尼卡大桥马斯洛的人本哲学马斯洛的智慧马斯洛夫

基本信息

危害综述

病毒特征

清除方法

防范措施