本人今天截获了一个QQ病毒,有兴趣的进来研究一下,看有什么突破口搞他

你好20051

[这个贴子最后由流浪的老鼠在 2005/04/12 09:45pm 第 1 次编辑]: A) s4 s, P  ?+ \* g6 n/ E" L
6 j4 G! B8 r) n3 L
今天到网上想去找点免费的木马玩，谁知道没找到几个能用能下的，下午上ＱＱ时，发现倒感染了ＱＱ病毒，本人截获的此病毒会自动向ＱＱ朋友发　以下内容：6 T& g* w% u% c! J2 @3 v' c& l
你好啊某某，这两天我没怎么上网
3 S) x7 I4 P2 s- O0 U# t$ C今天一上网朋友传给我一段ＱＱ视频，一看那人的ＱＱ昵称跟你的一样，也叫某某，不会是你吧？表演得也太露骨了一点吧？希望不是你。你最好看看吧！点击下面地址可以下载4 w3 m0 o$ m& S- p8 e; a
[color=#ff0000]流浪的老鼠PS: 病毒已经确认,隐藏该链接5 g% m5 I8 Q$ r5 u% X# B
该病毒会自动把中毒者的ＱＱ朋友名单套上去发出，经本人分析该病毒创造者是个菜鸟，估计刚塌入黑们就瞎黑一通，所以我们得给这样的小子上上课教育教育．经分析该病毒的网站ＩＰ为% j. y1 E1 W1 y) ?0 F1 q
６１.１５２．９１.９４
% ^2 }$ A( i  @8 y. A所以我们要鄙视这样的垃圾，有本事去黑日本人，日本人大家都是痛恨的，而这样的垃圾学黑就想搞我们自己中国人，所以我们要强烈鄙视．由于本人的能力有限（本人刚塌入黑门实属菜鸟），请求各位黑兄有时间给他点颜色，也全当是　杀鸡吓猴，以此来警告那些菜鸟：学黑不是黑我们自己，而是要振兴国家不忘国耻．谢谢
% F" w5 B7 A% M6 C( r: Q' u1 u本人现在只是搞到知对方的系统是windows2000 server  并且需要密码才能进,希望高手来共同研究下  c  f4 [7 i6 r  F3 u

hetaopi

对了，可不可以把qq尾巴的源代码怎么加语句的部分公布一下？
+ f, Y1 \5 k+ X+ E: x8 U$ w我感觉qq留言离开一成不变有点乏味，能不能写个程序，把隐藏路径以及传播部分去掉，不就可以了么？

aaak

有好办法告诉我哦

Ammty

[这个贴子最后由流浪的老鼠在 2005/04/12 09:49pm 第 1 次编辑]; Z2 ^/ v% v  ~9 e

# s, p8 Y( [/ |, ~: }2 |http://www.XXXXX.com/321.exe
/ a! J: W- q* f: T$ ESite found: www.18hi.com=61.152.91.94
5 @' n0 q8 S9 z( XConnecting to 61.152.91.948 ?2 P( A% R7 H- ]$ R) |& l
Connected to 61.152.91.94
: h& @& m  B5 X% ]5 J0 P5 sGET http://www.XXXXX.com/321.exe( w$ A2 {9 k% w( \; s
> Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, */*
) K' |9 z; A( J* x3 M1 R> User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)
1 H, M! w9 J5 x  V+ l6 x3 l6 Q. k> Host: www.XXXXX.com
! z# E0 o$ L4 ~' |! QRequest sent. 220 bytes
3 `2 X+ R! e8 W. z: I2 DData available. 16384/16384 bytes
1 w, v; B/ V! h: bData available. 3584/19968 bytes
- S$ p1 s% A4 a* f7 h) V5 T< HTTP/1.1 200 OK
" `8 p5 E' q0 o/ s! o$ |< Server: Microsoft-IIS/5.0
/ M3 Y: C! P& R/ `< Date: Tue, 12 Apr 2005 13:21:48 GMT
8 U0 o1 p( b4 V6 M< Content-Type: application/octet-stream
1 L5 X$ F  `; l; H8 I1 |, ^< Accept-Ranges: bytes
, y* i% @5 `, H8 H* Q: N6 [# q< Last-Modified: Tue, 12 Apr 2005 13:00:24 GMT
) L& F" E% ^  h  m* t# H8 T0 @< ETag: "2c5090975f3fc51:1477"
% @8 ^" Q$ @8 q$ z5 \0 T< Content-Length: 19968( J) S; @* l( |. C. W: @! T; m
< * E; G  t& D5 F% g( |7 g$ K
200 Request complete' F$ k' ^- q- m
7 i& o( h4 D: i
[color=&#35;ff0000]流浪的老鼠PS:对不起,把你的也隐一下了.

Ammty

希望大家不要太过认真
/ E. w9 j, |2 n7 J: E8 R6 u真的有这个病毒吗？$ C6 Q2 f  y; z& c/ ~& P% r" ~+ l% g
看看楼主的ID再想想

流浪的老鼠

流浪的老鼠 2005-04-12 21:39:14
5 L" z1 L/ E' y% j2 c. I你好啊流浪的老鼠，这两天我没怎么上网4 p) f! X% q! r+ i/ C) f( j
今天一上网朋友传给我一段ＱＱ视频，一看那人的ＱＱ昵称跟你的一样，也叫流浪的老鼠，不会是你吧？表演得也太露骨了一点吧？希望不是你。你最好看看吧！点击下面地址可以下载
6 I3 K" R0 A* m: U! g3 Z6 vhttp://www.XXXXXX.com/321.exe

寒情

请教一下手工消除该木马的方法？

你好20051

经研究,该病毒制造者通过远程桌面控制服务器,但是我们可以这样搞他% N1 N8 ^( Z' H9 Y
首先点开始 ,然后点附件,然后点通讯,接着点远程桌面,然后输入IP地址 ６１.１５２．９１.９４可以进入远程主机,可以看到对方的系统是 widows2000server* q  p2 R) T  D3 @* [& D- e
最后用暴力破解搞到管理员帐号,提升权限,然后进入主机把对方的主机彻底黑掉!

孤独的人

6 k9 p& S- O" t/ i( rhttp://www.joyiex.com删除方法( k! Q9 X/ w$ }; r8 i/ [* |
看看啊.我最近照的照片~才扫描到网上的.看看我是不是变了样?h**p://www.joyiex.com（为防止网友误点，所以使用*代替字母）; `  ?( F8 n4 c" {' z8 Q
大家一看到这个信息就头疼是不是？: G* Z# G7 n( J6 }: U& \
看着它不停的发信息，残害网友，却无能为力。) L0 m7 u' W1 |* t
好了，废话不说了，下面我们来解开他的丑恶嘴脸。
' Y4 v# g( F9 e! F这个病毒是利用了一个内存中的程序监控注册表，以及电脑硬盘里的病毒文件，一旦被删除，马上重新生成一个。' ?& L7 l! w% D
这个病毒的shell是explorer& l0 Z4 Y+ E" N  f0 _% ]5 ?& A
再c:\windows\system32\  (xp)   c:\winnt\system32\   (2k) 下生成一个叫
8 G. j! a( a& z- K: A1 hmsapi.exe以及msapi.dll的文件。
* M$ `/ l( ^! ^  a" ?0 C如果我们直接删除.exe，它马上就会再生成一个。如果我们删除.dll，系统不让我们删
) I) [# X& u, i* Q1 X  `& p4 |既然内存的程序再监控这些文件，我们可以试着先把内存的程序干掉。
- b7 E/ k8 T* r) b3 d你可以用文本文件，重命名为msapi.exe然后覆盖原来的病毒体。
' ]2 g. o* ?3 \" y5 G8 z  {! R( m覆盖好后，重启电脑。你的记事本应该会弹出来（因为毕竟是文本文件嘛）。+ Y# {4 q$ s. `  y9 y
好了，现在可以手动删除msapi.dll了。
5 X1 O! e! x) C9 [但是那些注册表值怎么办呢？ 这个病毒太缺德，把大家的注册表都锁了，4 I0 W; l6 K2 t2 W( D& K3 b
不过没关系，为了大家方便，我写了一个小程序可以干掉它们7 ^3 _0 \1 Q; _6 C! ^' r
点此下载
' i+ ~  C" `# f: @$ i0 p2 T2 e上面的搞定以后，大家就可以用这个小程序修复注册表了。
7 K8 K( u+ i, v6 t由于是vb.net写的，所以需要.net framework的支持，才可以运行。

wangqs

9楼的小程序为什么不能下载？