封杀QQ消息连发器病毒

　日前，qq消息发送器类型的病毒在网络世界肆意横行。这类病毒发作时会寻找QQ窗口，每隔一段时间就给被感染用户的所有线上的QQ好友发送诸如“快去这看看，里面有蛮好好东西-- ”“http://nicex.126.com看看啊. 我最近照的照片~ 才扫描到网上的.看看我是不是变了样?”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒无情感染，然后成为毒源，继续传播。有关此类病毒的详细资料，请参阅：
　QQ连发器（Trojan.WebAuto）病毒档案

　警惕程度：★★★★
　　发作时间：随机
　　病毒类型：木马病毒
　　传播方式：QQ软件
　　感染对象：QQ用户
　　依赖系统: WIN9X//NT/2000/XP

　　病毒介绍：

　　该病毒运行后会偷偷藏在用户的系统中，并修改注册表进行自启动。发作时会寻找QQ窗口，每隔1分钟就给被感染用户的所有线上的QQ好友发送诸如“快去这看看，里面有蛮好好东西-- ”之类的假消息，诱惑用户点击一个网站，如果有人信以为真点击该链接的话，就会被病毒无情感染，然后成为毒源，继续传播。

　　病毒的发现与清除：

　　此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒：

　　1. 病毒运行时会将自身复制到系统目录下，命名为：WebAuto.exe。

　　2. 病毒会修改注册表，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run启动项中添加键值WebAuto.exe,该键值的内容是病毒的文件路径，在下一次启动计算机时，病毒就会自动运行。

　　3. 病毒会将用户系统中的IE默认首页改为：http://www.qq588.com ，使用户一上网就中招。

　　4. 病毒会寻找QQ的发送消息窗口，给用户所有好友随机发送以下消息：

　　　　1. "激情电影爽啊！给你也推荐一下，完全免费--"；
　　　　2. "快去这看看，里面有蛮好好东西--"；
　　　　3. "上次看了个网站不错，去看看吧--"；

　　在这些消息之后还伴随着一个恶意网址诱骗用户点击。

　　用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了QQ连发器。

　消息发送器（TrojanClicker.LeoQQ）携带木马横行
最近，在国外“四维”病毒（I-Worm/Swed）大肆传播的时候，国内很多用户更是受到了多种不同的病毒攻击。其中TrojanClicker.LeoQQ木马在QQ世界凶猛传播，并携带一个叫Trojan/PSW.WyHunt的偷传奇游戏密码的木马。目前已经有数百人中招。

　　木马程序利用QQ传播已经成为国内的流行病毒的主流，目前截获的此类QQ病毒很多，但大多局限于宣传网站等目的。而这次截获的QQ病毒，却将目光瞄像了用户的传奇邮箱帐户密码。在运行自己的同时，释放偷密码的木马，在用户关注QQ病毒的时候，偷密码的木马已经悄悄地驻扎下来，并将监视到的帐户密码发送到指定的邮箱中。

　　如果你收到下面图示中的消息，千万不要去消息中提到的网址，并紧急通知自己的好友。

　　此木马的图标是智能ABC拼音输入法的图标，具有一定的迷惑性。如图（颜色框中是病毒文件。其中红色的是LeoQQ，粉色的是偷密码的木马文件。）

　　木马运行后，将自身复制多份，它们是：

　　C:\WINDOWS\SYSTEM\WINHELP.EXE

　　C:\WINDOWS\SYSTEM\WINHELP32.EXE

　　C:\WINDOWS\SYSTEM\DIRECTX.EXE

　　释放的偷密码的木马也有多份：

　　C:\WINDOWS\SYSTEM\SYSTEM.EXE

　　C:\WINDOWS\SYSTEM\WinSocks.dll

　　C:\WINDOWS\INTRENAT.EXE

　　并增加多个启动项。如图（Win98环境，其他下面会稍有不同，红色框的是病毒！）：

　　Win.ini和System.ini也被修改了！

在此，教您封杀这类讨厌的病毒，让您在聊天时不再受到骚扰。

第一步，修复您的注册表。因为此类病毒在运行后都会在注册表的启动项中加入病毒本身。找出病毒本身的程序名，禁止当前进程中的病毒程序，然后将其在启动项中的键值删除。不了解注册表知识的朋友可以下载一个注册表修复工具，或者在线修复注册表。

　　第二步，清除病毒程序，在系统文件夹中查找以上两篇文章中所提到的相同名称的病毒程序，将其删除。或者下载“QQ消息发送器病毒专杀工具”或者“QQ自动发消息专杀工具QQAV”清除病毒。

　　第三步，杜绝再次感染。因为此类病毒是利用IE浏览器的漏洞传播，所以应当尽量避免浏览陌生的网站。推荐安装IE防改精灵，熟悉注册表的朋友可以禁止修改注册表。