谈IM病毒传播原理 瑞星技术先锋0904期

　　卷首语：即时通讯（IM）软件所拥有的实时性、成本低、效率高等诸多优势，使之成为网民们最喜爱的网络沟通方式之一，同时也成为了黑客攻击和植入木马程序的主要平台，早年QQ病毒曾令人“谈虎色变”。但随着MSN等即时通讯用户呈几何级增长，老病毒新病毒纷纷“转向“到这一平台，后来，旺旺、百度HI等IM软件也出现了病毒和相关漏洞所引发的攻击案例，使人“闻之色变”……

---

　　从2009年5月开始，由ZOL软件事业部和国际著名安全厂商瑞星公司联手打造的《ZOL&瑞星技术先锋》栏目。正式与广大网友见面了，《ZOL&瑞星技术先锋》是ZOL软件事业部和瑞星公司联手打造的安全技术分享栏目，每一期中，我们都会邀请到瑞星技术专家，为网友讲解相关安全技术信息，分享使用心得和应用技巧等，，希望能够给予您参考和帮助，使得您正确使用安全软件，免遭病毒侵袭…

　　同时您在使用瑞星安全软件过程中，遇到什么问题，希望得到解答，可以前往ZOL软件论坛安全板块，或致信ZOL软件事业部个人资讯组，与编辑进行联系，您的问题我们将通过筛选反馈给瑞星技术专家，同时如果您的问题非常不错，还有机会赢得瑞星公司提供的精美礼品，同时还有机会成为当月的提问明星(ZOL软件论坛“技术先锋问答帖” | ZOL软件公共邮箱：zolsoft@staff.zol.com.cn）。

　　下载：瑞星杀毒软件2009下载版 21.41 

谈IM病毒传播原理 瑞星技术先锋0904期(买瑞星送“口罩”）

　　在上一期技术先锋《详谈挂马危害!瑞星技术先锋03期(视频）》栏目中，为大家介绍了“挂马”网站所容易造成的危害，这一选题是长久项目，大家也非常喜欢，日后还将继续为大家讲解相关的原理。而在本期中，将为大家介绍的则是另外一个大家比较关注的安全话题 - IM软件的安全，希望能够给大家一些参考和启迪。

　　在本期ZOL&瑞星技术先锋栏目中，唐威工程师将为我们讲解IM病毒（聊天软件）的相关原理、历史和预防措施，包括手工清除MSN病毒，或使用瑞星全功能安全软件来有效拦截、清除IM病毒，保护系统安全和防止信息泄漏。

通过瑞星全功能安全软件可有效防范木马行为和危险动作

　　好，下面我们便首先来看看IM病毒的一些相关原理和较为常见的传播方式，以及他们通常会造成的危害和预防措施。

　　携手共建“云安全“01期  |  “挂马”网站原理谈 02期 |  中“马”危害演示 03期

　　1.IM病毒的传播和工作原理

　　即时通讯(IM)类病毒主要是指通过即时通讯软件(如MSN、QQ等)向用户的联系人自动发送恶意消息或自身文件来达到传播目的的蠕虫等病毒。

　　IM类病毒通常有两种工作模式：一种是自动发送恶意文本消息，这些消息一般都包含一个或多个网址，指向恶意网页，收到消息的用户一旦点击打开了恶意网页就会从恶意网站上自动下载并运行病毒程序。另一种是利用即时通讯软件的传送文件功能，将自身直接发送出去，这也是时下流行的主模式。

通过传送文件传播病毒、木马是主要的传播方式

　　第一个利用MSN传播的蠕虫是2001年4月被发现的I-Worm/Funny，第一个利用QQ自动发送恶意消息的病毒是2002年8月份的“爱情森林”。近年来，各种即时通讯软件层出不穷，在线用户的人数也呈爆炸式增长。

　　这些IM病毒通常很会玩弄花招，名人、美女都是其利用手段。因此专家建议广大网友上网即时聊天时最好启用杀毒软件的实时监控及隐私保护功能，尤其不要下载陌生网友推荐的网页、软件和资料，即使是好友发送也应仔细询问，以免病毒感染或机密资料被盗。

使用瑞星账号保险柜和有效保护MSN、QQ、UC等聊天工具的安全

　　特别是MSN病毒，其变体有很多种如：MSN机器人、MSN小丑、MSN性感相册、MSN性感肉鸡等等，其原理都是利用MSN作为平台在同聊友沟通的同时发送病毒信息，通过MSN好友关系欺骗用户点击，然后再次传播，从而形成强大的传播途径。所以，养成开启杀软定时升库，安装安全类软件，不定期打入系统补丁等习惯，并且多了解每日病毒动态，即时作好防范工作，可避免让自己成为受害者、甚至真正成为暴露在黑客面前的“肉鸡”。

实时升级杀毒软件的病毒库信息 防止最新IM病毒变种

　　相信通过工作模式和传播原理，大家已经基本了解何为IM病毒？遇到什么情况，就有可能是中了IM病毒。虽然网上提供了很多如“清除注册表”等技巧，但对于很多用户来说，这样的方式方法无疑非常复杂，同时极易出现误操作等情况，所以，中毒后马上下载专杀工具、或保持安装和启用防火墙软件，并定期保持升级和更新的习惯，才可有效预防IM病毒和清除相关威胁。

　　2.常用IM软件的自我保护

　　此外，使用IM软件提供的一些自我保护功能，也可以防止病毒侵袭和资料泄密。例如，为防止“键盘记录”等木马程序记录键盘输入信息，窃取用户密码，在QQ软件中，我们可以使用软键盘输入密码信息。另外，如果您在公共场合上网，也应该养成每次使用后清除相关聊天记录的好习惯。

通过软键盘输入QQ密码可以有效防止键盘记录木马窃取信息

在公共场合应该养成退出QQ、MSN后自动删除账号信息的习惯

　　此外，在QQ、MSN等IM软件中，还为用户提供了隐私保护设置，例如可以阻止部分陌生人的留言和即时消息，屏蔽部分广告信息等，在软件的设置选项中，大家可以进行查找和根据需求进行设置。

QQ、MSN软件中均为用户提供了安全和隐私设置

　　在开启防火墙、并保持实时更新和及时修复系统漏洞的情况下，辅助IM软件自带的一些安全和隐私设置，可以有效保护IM聊天安全，使得您无需担心信息被窃取、密码遭窃听。随心所欲的好友畅聊，通过键盘拉近彼此的距离。

　　下面我们再来看一下本周的一些“挂马”风向和几组专家问答。

　　本周挂马风云（2009.6.15－6.21）

　　据瑞星“云安全”系统统计，本周瑞星共截获了150万个挂马网址。本周挂马网站针对的都是一些政府、行业、商务和博客网站。由于这些网站访问人数固定，且部分网站存在商务合作，所以用户浏览网站时需注意，防止中毒或延误商机。在本周的挂马网站中截获了一个病毒值得注意，它是“VB代理蠕虫变种VL”，该病毒是一个类似文件夹的图标，会导致系统异常甚至崩溃，修改ie主页，最终下载大量木马。

启用卡卡“IE防漏墙”可有效保护浏览器安全

　　本周关注的被挂马网站：

　　“互联网观察中心”、“中华人民共和国水利部网站”、“中国制造网”、“天天营养网”、“通网”的部分页面被黑客挂马。黑客利用被挂马网站的服务器漏洞和不安全设置进行入侵。用户访问这些页面后，可能会感染蠕虫下载器和大量木马病毒。

　　本周关注病毒：

　　“VB代理蠕虫变种VL（Worm.Win32.VB.vl）”警惕程度★★★

　　该病毒是由VB编写，一个文件夹类似的图标，病毒运行后会在系统根目录下复制大量的自己，并且命名为不同的名字，还会替换一些系统文件。会在根目录下释放Autorun.inf，当在打开Windows目录和system32目录的时候，病毒会关闭这个文件夹，不让访问，以躲避手工杀毒。病毒会修改开始菜单的位置，当鼠标放到这个开始菜单上时，这个菜单会随机移动，不让点击。病毒还会修改大量注册表，以实现开机启动目的。病毒会修改IE主页，以达到下载新病毒的目的，使用户容易反复感染，很难彻底清除。

通过瑞星“防木马入侵拦截”功能可有效拦截挂马站点

　　防范方法：

　　1、使用“瑞星全功能安全软件2009”，有效阻挡通过网页挂马方式传播的病毒，用户可以升级到最新的21.43版；2、安装卡卡上网安全助手6.0自动修复漏洞

　　而从本期《ZOL&瑞星技术先锋开始》，还将为大家介绍下周的安全隐患和相关警示，方便大家预防中招。

　　周（2009.6.15－6.21）安全警示

　　暑期大片纷纷上映 学生影迷成攻击目标

　　根据瑞星"云安全"系统发现，本周共拦截了736万次木马网站对用户的攻击。近期针对在线视频、电影下载和票务网站的挂马活动一直保持增长势态。《终结者》、《博物馆奇妙夜2》、《变形金刚2》等好莱坞大片纷纷上映。正逢暑期的临近，对于很多影迷学生都会选择在家上网收看电影，且大多数学生的电脑安全意识和防范方法薄弱，导致黑客成功对学生族大量传播中毒。

在线观看/下载影片更应注意防止其中包含的病毒威胁

　　据瑞星专家介绍，近期微软和一些其他第三方常用软件均被曝存在严重漏洞。用户需要及时更新官方补丁程序，或下载官方新版软件。切勿使用山寨补丁，得不偿失。瑞星2009的木马入侵拦截功能可以有效应对利用各种漏洞进行攻击的挂马网站。

通过卡卡可快速清除系统中存在的漏洞信息

　　专家提醒安全防范措施：

　　1.及时更新微软最新漏洞补丁程序和其他第三方应用软件，切勿使用山寨补丁。目前瑞星公司已经加入微软MAPP计划，可提前获知最新漏洞信息，用户使用卡卡上网安全助手6.0进行自动漏洞修补将更及时、更权威。

　　2.安装具有防挂马能力的安全软件，例如瑞星2009，在上网过程中，有效拦截各类挂马网站。

　　你问我答:U盘如何免疫?

　　王小姐问：您好，IE浏览器浏览网页时，会在页面上方出现提示"系统检测到您感染了恶意软件cbf.ad.boker，这会导致您上网时图片不能正常显示，上网速度变慢...按此下载cbf.ad.boker专杀工具"，请问有什么方法能解决这个问题吗？

　　答：此类问题通常是通过IE浏览器，下载恶意流氓软件或恶意插件后出现的问题。恶意插件往往通过诱惑用户点击链接，达到其商业目的或下载病毒。可以使用瑞星卡卡上网安全助手-高级功能-插件管理及卸载，将【名称】、【发行者】为"未知"的插件禁用或卸载后，重新打开IE浏览器

　　郭小姐问：您好，前两天杀毒过程中发现一些木马，杀毒软件提示"需要解压后杀毒"，病毒在F:SystemVolumeInformation文件夹，重启电脑以后再杀同样的病毒依然存在，我应该怎么办才能彻底删除这些病毒？

　　答：这个问题与病毒存在的路径有关，【SystemVolumeInformation】是Windowsxp系统的"系统还原"文件夹，该文件夹是受系统保护的，所以在某些情况下对于存在该路径的病毒可能无法直接清除。遇到此类问题时，可以将Windows系统的"系统还原"功能关闭后，重启计算机，病毒就不存在了。

　　附关闭Windowsxp“系统还原”方法：在“我的电脑”图标上点击鼠标右键选择"属性"-点击"系统还原"选项卡-选中"在所有驱动器上关闭系统还原"-点击"应用"-"确定"后重启计算机。

　　何先生问：您好，我在影楼工作，经常使用U盘拷贝文档和图片，电脑总是不小心感染木马病毒，请问有什么方法能避免这个问题吗？

启用卡卡U盘免疫 防止病毒通过可移动设备入侵

　　答：近期，通过U盘传播的病毒较多，此类病毒是通过U盘中被创建的autorun.inf文件实现自动运行的，防止此类病毒感染的方法很简单，就是将电脑自动播放功能禁用。可以通过安装卡卡上网安全助手，在【防护中心】中，开启【U盘病毒免疫】功能来轻松实现。

　　问题征集：您在使用瑞星安全软件过程中，遇到什么问题，希望得到解答，可以前往ZOL软件论坛安全板块，或致信ZOL软件事业部个人资讯组，与编辑进行联系，您的问题我们将通过筛选反馈给瑞星技术专家，同时如果您的问题非常不错，还有机会赢得瑞星公司提供的精美礼品，同时还有机会成为当月的提问明星(ZOL软件论坛“技术先锋问答帖” | ZOL软件公共邮箱：zolsoft@staff.zol.com.cn）。 

　　编辑点评：

　　在本期ZOL&瑞星技术先锋栏目中，唐威工程师为我们讲解了关于“IM病毒”的危害和原理，同时解答了网友关于U盘病毒免疫等三个日常电脑使用过程中所遇到的问题。如果您也遇到过类似情况，那么相信能够给予您启迪和参照。特别是本期的相关演示视频，非常强大，让大家进一步了解到瑞星全功能安全软件带给你的全面保护。

　　作为ZOL软件事业部安全行业品牌栏目 - ZOL&瑞星技术先锋栏目将长期举办，邀请更多技术专家、安全工程师为大家讲解相关安全知识、使用技巧，敬请广大网友期待！也非常希望您能给参与到我们的栏目中来。