QQ弹出的官方消息,很多人都会深信不疑吧?可一定要小心!因为病毒也可以伪造QQ官方消息。
病毒类型:广告病毒
病毒目的:进行网络钓鱼
真实体验:QQ官方消息也有假?
QQ10000,也就是大家常说的QQ官方消息专用号码。它代表QQ官方,所以大家都相信它里面的内容。如果QQ官方消息里面含有钓鱼网站,大家因为信任QQ官方而访问,就很可能上当受骗。
各位兄弟姐妹,你们碰到过弹出伪造QQ官方消息的病毒没有?反正我是遇到过,还被它雷得外焦里嫩,下面就要给大家说说。几天前,我正在网上看甲型H1N1流感的新闻,QQ的小喇叭就闪动起来。打开一看,是一个中奖消息(图1)。
第一反应是怀疑,这个消息到底是真是假?再仔细看时,发现这条消息是QQ10000发来的,是QQ的官方消息。或许我真的中奖了?!腾讯十周年庆典,我成为了幸运用户,我的运气不是一般的好。
我兴奋地点击了“查看详情”登录了领奖网站,中奖QQ网友的名单在不断地滚动,其中就有我的QQ号码。在网页中领奖区域,输入了自己的QQ号码和幸运码,系统提示我中奖信息验证成功。
不过,系统也提示要领取奖品还需要缴纳一笔1500元的公证费。看到这里,我才反应过来,这个网站有问题。腾讯说过“腾讯公司所有的中奖活动都会在官方主页上进行公布。对于参加腾讯公司活动中奖的用户,腾讯公司不会收取任何费用”。此外,QQ官方还时常弹出消息要大家不要相信所谓的中奖信息。
以前,我的QQ和邮箱经常收到所谓的中奖链接,开始的时候还会点击这些链接,发现都是骗人的,后来就直接忽视它们。这次如果我不是信任QQ官方消息,根本不会点击中奖链接,险些上当。
病毒是怎样伪造QQ官方消息的?
为什么会弹出假冒的QQ官方消息?我怀疑自己的电脑中了毒,于是断网杀毒对系统来了个彻底大扫除。病毒清除后,我把这事情跟一位朋友说起,抱怨这种卑鄙无耻的钓鱼方式。
朋友看了我给他的扫描截图后,告诉我是《QQ10000系统插件生成器》在搞鬼(图2)。它是个什么东东?朋友给我进行远程演示。在软件界面左边的“插件打开地址”处输入钓鱼网址,其他的选项默认,接着在软件右边的“新闻框内容”和“消息框内容”输入诱惑人的文字即可。这么简单设置后,一个能弹出QQ10000的病毒就生成了。
病毒原理:病毒通过木马下载器进入系统后,会在同一个目录里面释放批处理jcreate.bat,通过它可以关闭《360安全卫士》的进程,接着将病毒文件复制到系统的system32目录中并命名为winlegon.exe。
通过病毒名称可以看出,病毒将自身文件伪装成系统文件winLogon.exe,然后将各个监控项目的设置信息修改成“关闭”,最后添加自身到注册表的Run启动项,从而实现病毒随机启动的目的。
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)病毒加载完成以后,会在系统进程中查找QQ的进程。如果查找到有QQ进程,则继续查找QQ软件在右下角的图标,然后模拟一个QQ消息,将病毒文件里面的内容弹出,引诱用户点击进入钓鱼网站里面。
严防死守 让QQ不弹假消息
第一步:该病毒自保能力不强,可以先考虑用杀毒软件来对付。启动杀毒软件病并确保病毒库是最新的,然后进行全盘查杀。如果该病毒进行过很厉害的免杀,你的杀毒软件什么也没有发现,就继续以下的操作。
第二步:运行进程管理工具Wsyscheck(下载地址:http://www.shudoo.com/bzsoft),选择进程列表中的病毒进程winlegon.exe,点击右键选择“结束选择的进程”即可(图3)。由于病毒进程是一个第三方进程,因此会在进程列表中用红色显示,这样看上去就非常显眼。
(本文来源于图老师网站,更多请访问http://m.tulaoshi.com/diannaorumen/)第三步:点击Wsyscheck中的“安全检查→活动文件”,选择病毒的启动项winlegon.exe,点击右键选择“修复所选项”即可(图4)。点击Wsyscheck中的“文件管理”标签,在系统的system32目录中找到病毒文件winlegon.exe,点击右键选择“直接删除”命令即可。