由网友(16．折了樱桃)分享简介：QQ首巴是1种进犯QQ硬件的木马步伐，中毒之后，QQ会无端向摰友发收渣滓动静或者木马网址。解决方案有进级杀毒硬件、防水墙阻拦、检测、断根要领。首要风险是偷取账号、哄骗体系播送骗与用度、查看其余用户的疑息、哄骗QQ缝隙进犯、QQ同享文献歹意哄骗。体现QQ会无端向摰友发收渣滓动静雅称“QQ首巴”、“QQ木马”中文名称QQ首巴...

QQ尾巴是一种攻击QQ软件的木马程序，中毒之后，QQ会无故向好友发送垃圾消息或木马网址。解决方案有升级杀毒软件、防火墙拦截、检测、清除方法。

主要危害是盗取账号、利用系统广播骗取费用、查看其他用户的信息、利用QQ漏洞攻击、QQ共享文件恶意利用。

表现

QQ会无故向好友发送垃圾消息

俗称

“QQ尾巴”、“QQ木马”

中文名称

QQ尾巴

属性

攻击QQ软件的木马程序

病毒简介

“QQ尾巴病毒”俗称“QQ尾巴”和“QQ木马”。

病毒类型：木马

危险级别：★

影响平台：Win9X/2000/XP/NT/Me/Win7

过程及特征

Trojan/QQMsg.FakeUpdt随机发送一些消息。

传播过程及特征：

1.病毒运行后，将创建下列文件：

%WinDir%winsoft, 43008字节。

%WinDir%microsoft.exe, 43008字节。

2.修改注册表：

/在注册表中添加下列启动项：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

添加键值："KV2004" = "microsoft.exe"

这样，在Windows启动时，病毒就可以自动执行。

/病毒通过修改下列注册表键值，修改文件关联：

HKEY_CLASSES_ROOTtxtfileshellopencommand

修改为："" = "c:windowswinsoft "%1" "

这样，用户打开任何txt文件，都会再次运行病毒程序。

解决方案

1.及时升级杀毒软件，打开监视程序。KV的邮件监视功能可以有效拦截通过邮件传播的网络蠕虫病毒。防止病毒进入系统。

2.已被此病毒感染的用户可以使用杀毒软件最新版本直接在系统下彻底查杀。方法是先对系统内存进行扫描查杀，再对整个硬盘进行查杀。对于病毒创建的病毒体文件，杀毒软件会自动进行删除。

该病毒会偷偷藏在用户的系统中，发作时会寻找QQ窗口，给在线上的QQ好友发送诸如“快去这看看，里面有蛮好的东西--”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒感染，然后成为毒源，继续传播。

防火墙拦截

该病毒可以突破大多数病毒防火墙，危害相当大 。

这几天上网经常收到网友发过来的"呵呵,其实我觉得这个网站真的不错,你看看""看看啊. 我最近照的照片~ 才扫描到网上的.看看我是不是变了样? "这类的信息，一看就知道是"爱情之门"变种病毒。

检测

于是登陆网站，下载了所有网页，在里面找到了这个病毒，病毒是作为控件运行的，也就是在你的计算机提示网络安全对话框并且你点是的时候运行的那个．（文件名是love.exe）

病毒运行后会在你的系统中产生如下几个文件

C:WINNTsystem32DirectX.exe（系统隐藏）

C:WINNTsystem32system.exe

C:WINNTsystem32WINHELP.EXE（系统隐藏）

C:WINNTsystem32WINhelp32.exe（系统隐藏）

C:WINNTsystem32WinSocks.dll

C:WINNTintrenat.exe

在注册表中添加如下几项：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunIntrenat: "C:WINNTintrenat.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices: "winhelp.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesIntrenat: "C:WINNTintrenat.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindowsrun:"

WINhelp32.exe"

在注册表中修改如下：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell: "Explorer.exe"

被修改为

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell: "Explorer.exe C:WINNTsystem32DirectX.exe"

病毒运行后会有intrenat.exe和WINHELP.EXE两个进程常驻内存（可以在任务管理器中看到）

病毒的危害与以前几个版本大同小异

清除方法

首先打开任务管理器，禁止两个正在运行的病毒进程．然后，删除病毒创建的文件。

注意：有3个文件是系统隐藏文件属性，要先修改"文件夹选项"才能看到，用Windows搜索是找不到系统隐藏文件的．

注册表做相应修改就可以了，删掉病毒创建的键，修改回被修改的键。

Win9X系统

除了上面的，病毒可能会对system.ini和win.ini两个文件进行修改，你可以在sysedit编辑器中改回来．

其他的应该没甚么差别

随着聊天工具的日益普及，聊天工具已经成为黑客的主流攻击手段和攻击目标。许多黑客都盯上了这个通道，利用聊天工具的安全漏洞发起攻击，掌握了对方的聊天工具就可能得到了管理员权限。很多网络即时聊天工具的安全性都比较低，不需要很高水平就可以攻击成功。国内人们常用的即时通讯软件主要有腾讯的QQ、网易的泡泡、新浪UC、微软的MSN、ICQ、IMU即时通、雅虎通(Yahoo! Messenger)、Trillian 等，这里主要将用户最多的QQ安全问题和黑客攻击手段作一介绍。　QQ是腾讯公司推出的一款免费聊天工具，网上已经出现了QQ2005贺岁版，QQ软件的主要用途是进行聊天。因为功能众多，大部分功能又是免费的，所以在国内成为用户最多的聊天工具，在线人数经常是几百万，到2004年底，在线用户最高峰已经突破1000万大关，因此成为黑客光顾的重点对象。

本文从黑客对QQ的攻击方法入手，找出攻击的共性，从而更好地进行防御。

主要危害

盗取账号

盗取QQ号码的方法有攻击弱口令和在公用计算机上安装键盘记录工具记录密码，或者向用户发送木马，利用工具盗取口令。

弱口令攻击就是利用QQ密码穷尽软件，在线尝试可能的密码组合，如果密码位数很短，如6位以下，或者密码是全数字或一个英文单词等有明显特征的情况，就很容易被穷尽软件找出，对付这种攻击的办法就是使用尽可能复杂的密码，像字母和数字的组合，密码长度要至少8位以上等。

在很多公用计算机尤其是网吧的计算机上都被安装了键盘记录工具，当计算机开启后，从键盘上健入的每一个字符都被完整地记录下来，黑客只要查看记录文件，就不难从中找出QQ号码和对应的密码。对付这种攻击的办法是在输入密码时，键盘和鼠标并用，利用鼠标调整密码的输入顺序就可以，如果你的密码有8位以上并且密码的每个字符都不相同，即使黑客知道了你全部的密码字符，也不足虑，想一想8的阶乘8*7*6*5*4*3*2*1=40320，已经够黑客穷尽很长时间，另一条原则是在网吧上网后，要记得修改密码，增大自己的安全系数。

还有一种方法是利用用户贪便宜的心理，盗取QQ号码。最著名的是下面这样一次欺骗。在某些论坛上有人发布这样的贴子,声称几个黑客成功的潜入了腾讯公司的主页并得到了一些有价值的数据和漏洞。原理是进入腾讯公司的主页后，他们在服务器上搞了个可以自动读取指令的号码QQ*******：，公司的管理员就是通过发指令给这样QQ来完成比较简单的工作的(比如说收回QQ和找回密码等等)这个QQ的号码是：**********(腾讯公司为了 不引起大家的注意，所以这个QQ比较普通，这个QQ一般隐身，向此QQ号码发代码 {Jerusalum/PLO********}{Vesselin Bontchev@@@@}{FRALDMUZK } (*****填上QQ号码，@@@@填上QQ密码，填你申请Q币的个数 ，就可以等着收Q币，还可以得到好号。贪便宜想得到QQ币的用户，把自己的号码与密码都发给了此人，号码自然被人盗走。

腾讯公司推出的QQ号码手机绑定功能可以一劳永逸地解决QQ号码的盗取问题，美中不足的是这是一项收费服务，对那些想免费使用QQ软件的朋友是一项不小的挑战。

利用系统广播骗取费用

实际案例是某QQ用户的手机号码于10月31日收到来自977702XX774或1700002XX774的下列信息：“恭喜你成功订阅了XXX业务每月将收取服务费30元，退订请编辑DQ01#EXIT80发送至921X”。 短信内容中的“DQ01#EXIT80发送至921X”实际是某个网站的订制某游戏业务中获取秘籍的指令，目的是让用户收到此信息后，以为自己曾订制过某项业务，为了不再被收取费用，急急忙忙按照短信内容发送“退订”;此时用户正中陷阱，原以为是退订业务，反而变成定制业务，导致自己的手机费用受到损失。

查看其他用户的信息

如果成功盗取到其他用户的QQ号码，自然能够看到其他用户的信息，如果没有，则在公用计算机上可以看到在本机上用过QQ软件的其他用户的信息，如聊天记录、好友信息等。借助软件可以脱线登录其他用户QQ号码，并察看聊天记录和好友信息。

利用QQ漏洞攻击

上面的几个方面只是局限在对QQ的攻击，而黑客做的更多的是借助QQ，进一步控制用户的计算机。最流行的是QQ尾巴病毒。QQ尾巴病毒就是在用户系统中悄悄运行的一个程序，通过用户的QQ给对方发消息，而且这种消息发送是自动进行的，其中带有一个程序或一个恶意网站的网址，对方收到消息后，由于是好友发过来的，往往会毫不犹豫地点击那个网址或程序，就会被恶意代码、病毒攻击，系统被改得面目全非。然而因为消息是好友给发过来的，成功的概率很高，这就使得QQ病毒大肆流传。但这种病毒也有其自身的弱点，就是病毒信息是对方发过来的第一个信息，对好友的第一个信息稍加注意，并向好友证实后再点击，就能够很好地预防QQ病毒的攻击。

QQ共享文件恶意利用

自QQ2003II之后，增加了一项“浏览好友共享文件”功能，一台机器设了共享，其他机器都可以访问它。如果这台机器给其中的某个目录设置了完全共享，其他机器既可以访问浏览这个目录，又可以对这个目录中的文件进行修改、创建、删除操作。在设置共享的时候还可以使用密码，让其他人通过密码来访问，或者使用控制权限的方法让某台指定的机器访问。QQ的“浏览共享文件”功能就是这个意思。这个功能把你的机器与你的好友的机器通过QQ、利用互联网组成了一个“大局域网”。局域网中有只读共享和完全共享的概念，但是在QQ的共享中据说都是只读共享。但是否存在能够通过其它途径改为完全共享，还不得而知。这就需要用户不要随便添加好友，好友对用户机器有一定的操作权限。

其它对QQ进行攻击的手段还有很多，这里就不再一一列举，对其它的聊天工具也都存在不同程序的黑客攻击行为，进行聊天的用户往往是毫无安全意识的普通用户，这就导致了对聊天软件的攻击大肆流行。

相关信息

移动便携网络接入设备名称提示

由于智能手机以及平板电脑的普及，QQ的上网终端也越来越多样（不仅限于QQ其他网络应用也一样），例如：iphone用户在于好友交谈时，在交谈的正文结束后会跟一句:(通过 iphoneQQ 发送详情访问···)。这一句关于使用设备的名称的提示叫QQ尾巴。该尾巴不具破坏性。