http://490751668.qzone.qq.com Fri, 27 Nov 2009 22:43:42 GMT Qzone zh-cn Copyright (C), 2005-2008, Tencent Tech. Co., Ltd. Tue, 16 Dec 2008 09:37:52 GMT http://490751668.qzone.qq.com/blog/1229420272 　　一、
　　如今，还在持续更新的QQ盗号软件已经所剩无几，其中最为著名，流传最广的则非“啊拉QQ大盗”莫属，目前绝大多数的QQ号被盗事件都是由这个软件引起的。软件的使用条件很简单，只要你有一个支持smtp发信的邮箱或者一个支持asp脚本的网页空间即可。而且该木马可以将盗取的QQ号自动分为靓号和非靓号两种，并将它们分别发送到不同的信箱中，这也是“啊拉QQ大盗”如此流行的原因之一。先来了解一下其工作原理，以便从中找到反击的良方。
　　1、选择盗号模式
　　下载“啊拉QQ大盗”，解压后有两个文件：alaqq.exe、爱永恒，爱保姆qq.asp。其中alaqq.exe是“啊拉QQ大盗”的配置程序，爱永恒，爱保姆qq.asp是使用“网站收信”模式时需使用的文件。正式使用之前，还需要设置其参数。
　　“邮箱收信”配置：运行alaqq.exe，出现程序的配置界面。在“发信模式选择”选项中选中“邮箱收信”，在“邮箱收信”填写电子邮箱地址（建议使用程序默认的163.com网易的邮箱）。这里以邮箱n12345@163.com（密码n_12345）为例来介绍“邮箱收信”模式时的配置，并进行下文中的测试。此外，在“收信箱（靓）”和“收信箱（普）”中可以填入不同的邮箱地址用来接受QQ靓号和普通QQ号。然后在“发信服务器”下拉框中选择自己邮箱相应的smtp服务器，这里是smtp.163.com。最后填入发信箱的帐号、密码、全称即可。
　　设置完毕后，我们可以来测试一下填写的内容是否正确，点击下方“测试邮箱”按钮，程序将会出现邮箱测试状态。如果测试的项目都显示成功，即可完成邮箱信息配置。
　　“网站收信”配置：除了选择“邮箱收信”模式之外，我们还可以选择“网站收信”模式，让盗取的QQ号码自动上传到指定的网站空间。当然，在使用之前，也需要做一些准备工作。
　　用FTP软件将爱永恒，爱保姆qq.asp上传支持ASP脚本的空间，运行alaqq.exe，在“Asp接口地址”中输入爱永恒，爱保姆qq.asp所在的URL地址，那么，当木马截获QQ号码信息后，就会将其保存于爱永恒，爱保姆qq.asp同目录下的qq.txt文件中。
　　2、设置木马附加参数
　　接下来进行高级设置。如果勾选“运行后关闭QQ”，对方一旦运行“啊拉QQ大盗”生成的木马，QQ将会在60秒后自动关闭，当对方再次登录QQ后，其QQ号码和密码会被木马所截获，并发送到盗号者的邮箱或网站空间中。此外，如果希望该木马被用于网吧环境，那就需要勾选“还原精灵自动转存”，以便系统重起后仍能运行木马。除这两项外，其他保持默认即可。
　　3、盗取QQ号码信息
　　配置完“啊拉QQ大盗”，点击程序界面中的“生成木马”，即可生成一个能盗取QQ号码的木马程序。可以将该程序伪装成图片、小游戏，或者和其他软件捆绑后进行传播。当有人运行相应的文件后，木马会隐藏到系统中，当系统中有QQ登录时，木马便会开始工作，将相关的号码及密码截取，并按照此前的设置，将这些信息发送到邮箱或者网站空间。
]]> http://490751668.qzone.qq.com/blog/1229420272#comment 134218240 Tue, 16 Dec 2008 09:37:52 GMT http://490751668.qzone.qq.com/blog/1229420272 http://490751668.qzone.qq.com/blog/1229420013 　　针对QQ的木马程序多不胜数，其中专门盗取QQ密码的也有一大堆，它们被偷偷地安装在用户的电脑中，随电脑启动而自动运行，如果用户使用QQ，那么其账号和密码就会被这些木马记录下来，并发送到木马安装者的邮箱中。下面再介绍两款典型的。
　　第一款：极品QQ盗号2004
　　这是“极品QQ盗号”木马的最新版本。它的使用方法跟前面介绍的“密码使者”差不多，先再“设置”栏中填入接收QQ密码的邮箱地址和发送邮件的标题，然后把生成的盗号器偷偷地安装到别人的电脑里……这个木马声称可以避过主流的杀毒软件，盗取QQ最新版本的密码，即QQ2004和QQ2004奥运特别版的密码。
“极品QQ盗号2004”声称可以盗取QQ2004
　　第二款：QQ间谍3.0
　　使用此木马软件时，点击工具条上的“服务端”，按照提示生成服务端程序，然后把它偷偷地传到别人的电脑中，当受害者不小心运行了它，木马就被种上了。这个木马不仅可以盗号，还能悄悄地在后台记录受害者的QQ聊天信息，并下载可执行文件实现远程升级和远程执行脚本程序。另外再注册之后，它还可以直接远程监控对方电脑上的QQ聊天记录。
]]> http://490751668.qzone.qq.com/blog/1229420013#comment 134218240 Tue, 16 Dec 2008 09:33:33 GMT http://490751668.qzone.qq.com/blog/1229420013 http://490751668.qzone.qq.com/blog/1229419850 　　标题:腾讯关于xxxxx获奖通知
　　“QQ幸运儿：恭喜！！！您已经成为QQ在线网友齐抽奖的中奖用户。您将获赠精美T恤1件，并有机会得到NOKIA 7110手机1部。腾讯公司(tencent.com)注：奖品是以邮寄方式寄出，请您认真填写以下资料。如果填写错误，将被作为自动放弃获奖机会处理。> > QQ号码：> 密码：> 姓名：> E-mail地址：> 身份证号码：> 通讯地址：> 联系电话：> 邮编：”
　　比如我们的QQ经常会收到如下的陌生人消息。
　　如果你真的如实填写这些资料并傻傻的发送回去，不一会儿QQ密码就被盗了。
　　还有类似这样的消息：“亲爱的***号QQ用户，恭喜你你已经成为腾讯的幸运号码，腾讯公司送你QQ靓号：12345，密码：54321。请尽快登陆并修改密码，感谢您对腾讯公司的支持！”不少人一看，以为白捡的便宜来了 ，登录一试还是真的，于是就大大咧咧地笑纳了。但是，很多人为了方便，不管什么东西都爱使用相同的密码，所以当这个QQ号的密码被你改为与自己QQ号相同的密码时，自己QQ号的连同这个赠送的QQ号都得玩完！这是因为，赠送的QQ号已被盗号者申请过密码保护，当你更改密码后他就利用腾讯的密码保护功能把它收了回去，同时也收走你的QQ密码。如果你的QQ没有申请过密码保护，此刻就只能和它永别了。
]]> http://490751668.qzone.qq.com/blog/1229419850#comment 134218240 Tue, 16 Dec 2008 09:30:50 GMT http://490751668.qzone.qq.com/blog/1229419850 http://490751668.qzone.qq.com/blog/1229334924 　　3、邮箱破解
　　利用邮箱盗取QQ密码也是一种比较常用的方法。我们都知道，腾讯公司在对用户的QQ号码进行验证时需要用户填写电子邮箱。对于申请了“密码保护”功能的用户，在腾讯主页上找回遗忘的密码时，密码会被发送到用户注册时的邮箱中。所以，只要盗号者破解了对方的电子邮箱，就有机会得到其QQ密码！通常我们在对方QQ注册时填写的邮箱。
　　4、消息诈骗
　　远程盗取QQ密码还有一种大家最常见也是最简单最有效的方法，那就是利用不少人爱贪小便宜的弱点，进行人为的欺骗！

]]> http://490751668.qzone.qq.com/blog/1229334924#comment 134218240 Mon, 15 Dec 2008 09:55:24 GMT http://490751668.qzone.qq.com/blog/1229334924 http://490751668.qzone.qq.com/blog/1229334834 　　2、登录窗口破解
　　伪造QQ登录窗口的盗号方法非常简单，这是一种比较另类的木马破解方法（后面对木马破解有专门讲述）。先用盗号软件生成一个伪装的QQ主程序，它运行后会出现跟腾讯QQ一模一样的登录窗口，只要用户在这个伪登录窗口中登录，输入的QQ号及密码就会被记录下来，并通过电子邮件发送到盗号者指定的油箱中，在此以一款叫“狐Q”的软件为例，首次运行它时，它会把自身复制到QQ目录中，并把原来的QQ.exe文件改名为QQ.com（这样的更改不会影响QQ的正常运行）。设置完毕后，“狐Q”的原程序就会消失，伪装成QQ等待“猎物”上钩……在其软件设置中，有一项设置可以决定真假QQ交替运行的次数，可以减少用户在使用QQ时产生的怀疑。比如说将“生效次数”设定为3，那么用户第一次运行的是真QQ了，也就是说在第三次运行时，用户的QQ号便被盗了！在QQ密码发送的过程中，如果发送失败，它还会把QQ号和密码记下来，等待下一次发送。
　　即时监视QQ登录窗口的盗号方法利用Windows窗口函数、句柄功能实现QQ号和密码的后台截取。此类软件几乎可以捕获Windows下所有标准密码框中的密码，如QQ、Outlook、屏幕保护程序、各种电子邮件客户端、各种游戏账号和上网账号等。捕获后，它也会将密码实时发送到盗号者指定的邮箱中。其代表性的盗号软件是“密码使者”，它几乎可以捕获Windows 9x/2000/XP下所有登录窗口中的密码，并且还能够盗取在网页中登录的各种密码。盗号在使用这款软件时，只须填上用于接收别人QQ密码的邮箱地址及保护密码，并把生成的盗号器文件传过去哄骗别人运行，然后就可以坐等密码上门！此软件与传统的键盘记录器不同，它在电脑每次开机时隐藏自启动，不管密码是用键盘输入的，还是复制、粘贴的，都能够有效地实时拦截！其注册版本居然还带有自动升级的功能，破坏力十分巨大。
图2
　　“密码使者”几乎可以捕获系统所有登录窗口中的密码
]]> http://490751668.qzone.qq.com/blog/1229334834#comment 134218240 Mon, 15 Dec 2008 09:53:54 GMT http://490751668.qzone.qq.com/blog/1229334834 http://490751668.qzone.qq.com/blog/1229334727 “远程破解”是指QQ盗号者通过网络盗窃远端QQ用户的密码。这种QQ破解有很多方法，如在线密码破解、登录窗口破解、邮箱破解、消息诈骗以及形形色色的QQ木马病毒等。下面就让我们一同来看看这些QQ密码的远程破解是怎么实现的。　　
　　1、在线密码破解　　
　　大家知道QQ可以利用代理服务器登录，这是一种保护措施。它不仅可以隐藏用户的真实IP地址，以避免遭受网络攻击，还可以加快登录速度，保证登录的稳定性。　　
　　在线密码破解和本地密码破解采用的技术方法类似，都是穷举法，只不过前者完全脱离了本地用户使用的QQ。它通过对登录代理服务器进行扫描，只要想盗的QQ号码在线，就可利用在线盗号工具实现远程TCP/IP的追捕，从而神不知鬼不觉地盗取QQ密码！　　
　　在线破解改变了本地破解那种被动的破解方式，只要是在线的QQ号码都可以破解，适用范围较广。但是由于它仍然采用穷举法技术，所以在枚举密钥位数长度以及类型时，校验时间很长，破解效率不高。同样，这种方法还受到电脑速度、网速等诸多因素的影响，因此比前面的本地破解更麻烦。　　
　　目前功能比较强大的一款QQ密码在线破解软件叫QQExplorer。它的破解操作分四步：
第一步，在QQ起始号码和结束号码中填上想要盗取的QQ号码（此号码必须在线）；
第二步，在“添加或删除HTTP代理服务器”中输入代理服务器的IP地址和端口号码（如果你嫌自己寻找QQ代理服务器麻烦，可以使用一些现代的QQ代理公布软件）；
第三步，点击“添加&测试”按钮，软件先自动检测此服务器是否正常，确定后将它加入代理服务器列表（此软件可填入多个代理服务器的地址，并且能够自动筛选不可用或者速度慢的服务器）；第四步，点击“开始”按钮，开始在线密码破解。
　　QQExporer是一款QQ密码在线破解软件　 ]]> http://490751668.qzone.qq.com/blog/1229334727#comment 134218240 Mon, 15 Dec 2008 09:52:07 GMT http://490751668.qzone.qq.com/blog/1229334727 http://490751668.qzone.qq.com/blog/1229255346 00thotkey.exe
进程文件：00thotkey或者00thotkey.exe
进程名称：00thotkey
描述：
东芝笔记本键盘相关程序
出品者：东芝Toshiba
属于：东芝Toshiba
12popup.exe
进程文件：12popup或者12popup.exe
进程名称：12GhostsPopup-Killer
描述：
一款弹出广告拦截程序。
出品者：12GhostsInc.
2portalmon.exe
进程文件：2portalmon或者2portalmon.exe
进程名称：2wSysTray
描述：
2Wire用户界面入口程序。
出品者：2WireHomeportal
属于：2WireHomeportal
3capplnk.exe
进程文件：3capplnk或者3capplnk.exe
进程名称：3capplnk
描述：
一个调制解调器驱动程序。
出品者：USRobotics
属于：USRoboticsModemdriver
3cdminic.exe
进程文件：3cdminic或者3cdminic.exe
进程名称：3cdminic
描述：
3Com动态桌面管理DMI精灵程序。
出品者：3ComCorporation
属于：未知N/A
3cmcnkw.exe
进程文件：3cmcnkw或者3cmcnkw.exe
进程名称：未知N/A
描述：
USRoboticsWinModem调制解调器的一部分。该进程会占用部分CPU资源。
出品者：USRoboticsWinModem
属于：USRoboticsWinModem
3cmlink.exe
进程文件：3cmlink或者3cmlink.exe
进程名称：3cmlink.exe
描述：
3Com产品支持程序。
出品者：3ComCorporation
属于：未知N/A
3cmlnkw.exe
进程文件：3cmlnkw或者3cmlnkw.exe
进程名称：3cmlnkw
描述：
56KWinModem调制解调器相关程序。
出品者：3ComCorporation
属于：未知N/A
3cmlinkw.exe
进程文件：3cmlinkwor3cmlinkw.exe
进程名称：
描述：
USRoboticsWinModem调制解调器的一部分。该进程会占用部分CPU资源。
出品者：USRoboticsWinModem
属于：USRoboticsWinModem
3deepctl.exe
进程文件：3deepctl或者3deepctl.exe
进程名称：3Deepe-colour
描述：
LightSurf技术公司相关程序。用于纠正显示亮度、阴影。
出品者：LightSurfTechnologies
属于：3Deep
3dfxman.exe
进程文件：3dfxman或者3dfxman.exe
进程名称：未知N/A
描述：
3dfxVoodoo3/4/5显示卡系统托盘程序。
出品者：3dfxVoodoo
属于：3dfxVoodoo
3dldemon.exe
进程文件：3dldemon或者3dldemon.exe
进程名称：3DLabsHelperDemon
描述：
Permedia2/3显示卡相关程序。
出品者：Permedia
属于：Oxygen-seriescards
3dlman.exe
进程文件：3dlman或者3dlman.exe
进程名称：3DlabsTaskbarDisplayManager
描述：
3DLabs显示卡驱动相关程序。
出品者：3DLabs
属于：3DLabsgraphicsdriver
3qdctl.exe
进程文件：3qdctl或者3qdctl.exe
进程名称：3qdctl.exe
描述：
Terratec128位PCI声卡相关程序。
出品者：Terratec
属于：Terratec128i
3dxsrv.exe
进程文件：3dxsrv或者3dxsrv.exe
进程名称：3DxWareDriver
描述：
Spaceball鼠标相关程序。
出品者：Logicad3d
属于：Spaceball3DMouse
absr.exe
进程文件：absr或者absr.exe
进程名称：Backdoor.AutoupderVirus
描述：
absr.exe是Backdoor.Autoupder病毒的一部分。
出品者：
属于：未知N/A
a4proxy.exe
进程文件：a4proxy或者a4proxy.exe
进程名称：A4Proxy
描述：
a4proxy.exe是iNetPrivacy软件相关进程。它是一个本地的代理服务器用于匿名性。
出品者：iNetPrivacySoftware
属于：Anonymity4Proxy
acbtnmgr_xxx.exe
进程文件：acbtnmgr_xxx或者acbtnmgr_xxx.exe
进程名称：AcBtnMgr_Xxx
描述：
acbtnmgr_xxx.exe是利盟硬件产品驱动程序的一部分。
出品者：Lexmark
属于：Lexmarkall-in-oneprinter/scanner/copier
abyssws.exe
进程文件：abyssws或者abyssws.exe
进程名称：AbyssWebServer
描述：
abyssws.exe是ABYSSwebserver本地的Web服务器程序。
出品者：MoezMahfoudh
属于：AbyssWebServer
access.exe
进程文件：access或者access.exe
进程名称：Adware.InstantAccess
描述：
access.exe是Egroup公司的广告程序。该进程监视你的浏览行为，并回传到其服务器用于进行分析。
出品者：Egroup
属于：Adware.InstantAccess
安全等级(0-5):2
间谍软件：是
广告软件：是
accelerate.exe
进程文件：accelerate或者accelerate.exe
进程名称：Accelerate
描述：
accelerate.exe是Webroot软件的网络加速器程序。用于调整网络速度。
出品者：WebrootSoftwareInc.
属于：WebrootAccelerate
acmonitor_xxx.exe
进程文件：acmonitor_xxx或者acmonitor_xxx.exe
进程名称：JetsoftforLexmark
描述：
acmonitor_xxx.exe是Lexmark硬件产品驱动程序的一部分。
出品者：Lexmark
属于：LexmarkX73/X83ButtonMonitor
acmonitor_xxx.exe
进程文件：acmonitor_xxx或者acmonitor_xxx.exe
进程名称：JetsoftforLexmark
描述：
acmonitor_xxx.exe是Lexmark硬件产品驱动程序的一部分。
出品者：Lexmark
属于：LexmarkX73/X83ButtonMonitor
acombo3d.exe
进程文件：acombo3d或者acombo3d.exe
进程名称：Acombo3dmouse
描述：
acombo3d.exe是鼠标驱动程序的一部分。
出品者：Acombo
属于：Mousedriver
acoustic.exe
进程文件：acoustic或者acoustic.exe
进程名称：acoustic.exe
描述：
acoustic.exe是飞利浦Philips声卡相关控制程序。
出品者：Philips
属于：AcousticEdgesoundcard
aconti.exe
进程文件：aconti或者aconti.exe
进程名称：aconti
描述：
这是一个电话拨号程序。
出品者：ALifestyleGmbH
属于：未知N/A
acroaum.exe
进程文件：acroaum或者acroaum.exe
进程名称：AdobeAcrobatUpdater
描述：
acroaum.exe是Adobe产品升级相关程序。
出品者：Adobe
属于：AdobeAcrobat
acrobatelements.exe
进程文件：acrobatelements或者acrobatelements.exe
进程名称：AdobeAcrobatElements
描述：
acrobatelements.exe是AdobeAcrobatDistiller产品的一部分。它用于创建和打印PDF文档。
出品者：Adobe
属于：AdobeAcrobat
]]> http://490751668.qzone.qq.com/blog/1229255346#comment 134218240 Sun, 14 Dec 2008 11:49:06 GMT http://490751668.qzone.qq.com/blog/1229255346 http://490751668.qzone.qq.com/blog/1229255337 acrodist.exe
进程文件：acrodist或者acrodist.exe
进程名称：AdobeAcrobatDistiller
描述：
acrodist.exe是AdobeAcrobatDistiller产品的一部分。它用于创建和打印PDF文档。
出品者：Adobe
属于：AdobeAcrobat
actionagent.exe
进程文件：actionagent或者actionagent.exe
进程名称：Actionagent
描述：
actionagent.exe是DellOpenManager客户端相关程序。该进程提供COM服务接口用于远程管理。
出品者：Dell
属于：DellOpenManager
act.exe
进程文件：act或者act.exe
进程名称：MicrosoftApplicationCenterTest
描述：
act.exe是微软Microsoft应用程序中心测试工具。
出品者：Microsoft
属于：MicrosoftDevelopment
activeeyes.exe
进程文件：activeeyes或者activeeyes.exe
进程名称：ActiveEyes
描述：
activeeyes.exe是ActiveEyes相关应用程序。
出品者：TFITechnology
属于：ActiveEyes
activation.exe
进程文件：activation或者activation.exe
进程名称：activation
描述：
activation.exe是微软MicrosoftWindows许可证安全安装程序的一步法。它用于确保本地计算机拥有完整有效的软件许可证。
出品者：Microsoft
属于：WindowsXP
activemenu.exe
进程文件：activemenu或者activemenu.exe
进程名称：ActiveMenu
描述：
activemenu.exe是WildTangent相关程序。WildTangent会收集你的系统的相关信息。
出品者：WildTangent
属于：WildTangent
安全等级(0-5):2
间谍软件：是
广告软件：是
activeplus.exe
进程文件：activeplus或者activeplus.exe
进程名称：ActivePlus
描述：
activeplus.exe是MessegerPlus的相互式精灵插件。它会为MSNMessenger增加功能，但是捆绑了间谍软件。
出品者：InteractiveAgentsPlugin
属于：MessengerPlus!
安全等级(0-5):2
间谍软件：是
广告软件：是
ad-watch.exe
进程文件：ad-watch或者ad-watch.exe
进程名称：Ad-watch
描述：
ad-watch.exe是Lavasoft出品的Ad-aware相关进程。它会监视间谍软件对你的系统和注册表的操作。
出品者：Lavasoft
属于：LavasoftAd-awarePlus
ad-aware.exe
进程文件：ad-aware或者ad-aware.exe
进程名称：Ad-awareAnti-Spyware
描述：
ad-aware.exe是一个Lavasoft出品的间谍软件/广告软件扫描和删除程序。
出品者：Lavasoft
属于：LavasoftAd-aware
ad2kclient.exe
进程文件：ad2kclient或者ad2kclient.exe
进程名称：AD2KClient
描述：
ad2kclient.exe是IomegaZip驱动器相关程序。
出品者：IomegaCorporation
属于：IomegaZipDrivedrivers
adc.exe
进程文件：adc或者adc.exe
进程名称：XemiCoActivedesktopcalendar
描述：
adc.exe是XemiComputers出品的活动桌面日历的一步法。该程序会在桌面上显示一个交互式日历。
出品者：XemiComputers
属于：Activedesktopcalendar
adblck.exe
进程文件：adblck或者adblck.exe
进程名称：BrowserPal
描述：
adblck.exe是一款名为BrowserPal的免费弹出广告拦截软件的一部分。
出品者：BrowserPal
属于：BrowserPal
安全等级(0-5):2
间谍软件：是
广告软件：是
addestroyer.exe
进程文件：addestroyer或者addestroyer.exe
进程名称：AddDestroyerSpyware
描述：
addestroyer.exe是VirtualBouncer出品的广告程序。该进程会监视你的浏览行为，并回传到其服务器进行分析。它也会弹出广告窗口。
出品者：VirtualBouncer
属于：AddDestroyerSpyware
安全等级(0-5):2
间谍软件：是
广告软件：是
adg.exe
进程文件：adg或者adg.exe
进程名称：ADG
描述：
adg.exe是创新Creative公司Soundblaster声卡驱动程序的一部分。
出品者：Creative
属于：SoundBlasterAudigy
addrbook.exe
进程文件：addrbook或者addrbook.exe
进程名称：addrbook
描述：
addrbook.exe是NovellGroupwise系统相关应用程序。它在NovellGroupwise启动时被加载，用于快速访问NovellGroupwise地址薄。
出品者：Novell
属于：NovellGroupWiseAddressBook
admillikeep.exe
进程文件：admillikeep或者admillikeep.exe
进程名称：AdmilliServiceAdware
描述：
admillikeep.exe是AdmilliService广告软件的一部分。该进程监视你的浏览行为。
出品者：未知N/A
属于：AdmilliServiceAdware
AdManCtl.exe
进程文件：AdManCtl或者AdManCtl.exe
进程名称：AdmanagerController
描述：
AdManCtl.exe是WinAd广告程序的一部分。该进程监视你的浏览行为，并回传到其服务器进行分析。
出品者：未知N/A
属于：AdmanagerAdware
安全等级(0-5):2
间谍软件：是
广告软件：是
admlib32.exe
进程文件：admlib32或者admlib32.exe
进程名称：ADMLibraryLoader
描述：
admlib32.exe是SDBOT病毒的一部分。
出品者：未知N/A
属于：SDBOTVIRUS
安全等级(0-5):4
病毒：是
admilliserv.exe
进程文件：admilliserv或者admilliserv.exe
进程名称：AdmilliServiceAdware
描述：
admilliserv.exe是AdmilliService广告软件的一部分。该进程会回传你的浏览行为的信息。
出品者：未知N/A
属于：AdmilliServiceAdware
安全等级(0-5):2
间谍软件：是
广告软件：是
AdobeGammaLoader.exe
进程文件：AdobeGammaLoader或者AdobeGammaLoader.exe
进程名称：AdobeGammaLoader
描述：
AdobeGammaLoader.exe是Adobe相关产品程序，用于校正你视频输出设备的色彩。
出品者：Adobe
属于：AdobeCreativeStudio
admunch.exe
进程文件：admunch或者admunch.exe
进程名称：Ad-Muncher
描述：
admunch.exe是一个弹出广告拦截进程。它会自动拦截冲浪时弹出的广告窗口。
出品者：Ad-Muncher
属于：Ad-Muncher
adp.exe
进程文件：adp或者adp.exe
进程名称：adp
描述：
adp.exe是一个与Net2Phone、Limewire、Cydoor、Grokster和KaZaa等软件捆绑的间谍软件。该进程会监视你的浏览行为。
出品者：未知N/A
属于：Net2Phone,Limewire,Cydoor,Grokster,KaZaa,etc
安全等级(0-5):2
间谍软件：是
广告软件：是
adobes.exe
进程文件：adobes或者adobes.exe
进程名称：AdobeA
描述：
adobes.exe是FLOOD.BA病毒的一部分。

出品者：未知N/A
属于：FLOOD.BAVIRUS
安全等级(0-5):4
病毒：是
adsgone.exe
进程文件：adsgone或者adsgone.exe
进程名称：AdsGone
描述：
adsgone.exe是A1技术公司的弹出广告拦截软件的一部分。
出品者：A1TechInc
属于：AdsGonePopupKiller
adss.exe
进程文件：adss或者adss.exe
进程名称：ADSS
描述：
adss.exe是访问安全服务软件。它用于监视电源状态。
出品者：Johnru
属于：AccessDeniedSecurityServer
adstatserv.exe
进程文件：adstatserv或者adstatserv.exe
进程名称：AdstatInternetExplorerHijacker
描述：
adstatserv.exe是一个InternetExplorer浏览器篡改程序。会篡改IE/桌面设置指向其合作伙伴网站。
出品者：未知N/A
属于：AdstatMalware
安全等级(0-5):2
间谍软件：是
广告软件：是
adsub.exe
进程文件：adsub或者adsub.exe
进程名称：AdSubtract
描述：
adsub.exe是InterMute公司的弹出广告拦截程序。
出品者：InterMute
属于：AdSubtractPRO
advchk.exe
进程文件：advchk或者advchk.exe
进程名称：AdvancedToolsCheck
描述：
Advchk.exe是NortonAntiVirus反病毒产品的一部分，在后台启动运行。它用于检测病毒对你系统的任何更改。
出品者：SymantecCorporation
属于：NortonAntiVirus
adtray.exe
进程文件：adtray或者adtray.exe
进程名称：ADQuickAccess
描述：
adtray.exe是AfterDark任务栏相关进程。AfterDark是一个屏幕保护制作程序。
出品者：AfterDark
属于：AfterDarkforWindows
aelaunch.exe
进程文件：aelaunch或者aelaunch.exe
进程名称：AELaunch
描述：
aelaunch.exe是PhilipsAcousticEdge声音相关应用程序托盘进程。
出品者：Philips
属于：AcousticEdge
]]> http://490751668.qzone.qq.com/blog/1229255337#comment 134218240 Sun, 14 Dec 2008 11:48:57 GMT http://490751668.qzone.qq.com/blog/1229255337 http://490751668.qzone.qq.com/blog/1229255327 advapi.exe
进程文件：advapi或者advapi.exe
进程名称：Advapi
描述：
advapi.exe是NETDEVIL.12(NetDevil1.2)病毒的一部分。
出品者：未知N/A
属于：(NetDevil1.2)VIRUS
安全等级(0-5):4
病毒：是
aexswdusr.exe
进程文件：aexswdusr或者aexswdusr.exe
进程名称：AltirisExpressNSClientManager
描述：
aexswdusr.exe是AltirisExpressNS客户端产品的一部分。
出品者：Altiris
属于：AltirisExpressNSClientManagersoftware
aeiwlsta.exe
进程文件：aeiwlsta或者aeiwlsta.exe
进程名称：Aeiwlsta.exe
描述：
aeiwlsta.exe是IBM高效率无线局域网网卡相关程序。

出品者：IBM
属于：IBMHighRateWirelessLANAdapter
agsatellite.exe
进程文件：agsatellite或者agsatellite.exe
进程名称：AGSatellite
描述：
agsatellite.exe是媒体下载软件相关进程。
出品者：AudioGalaxy
属于：AGSatellite
agfaclnk.exe
进程文件：agfaclnk或者agfaclnk.exe
进程名称：AgfaCLnk
描述：
agfaclnk.exe是爱克发Agfa数码相机相关进程。
出品者：Agfa
属于：AgfadigitalcamerasconnectedviaUSB
ahnsd.exe
进程文件：ahnsd或者ahnsd.exe
进程名称：AHNSD
描述：
ahnsd.exe是安博士AhnLabV3反病毒软件自动升级程序。
出品者：AhnLab
属于：AhnLabV3antivirus
ahfp.exe
进程文件：ahfp或者ahfp.exe
进程名称：AdvancedHideFolders
描述：
ahfp.exe是一个AdvancedHideFolders软件的一部分。用于隐藏文件和文件夹。
出品者：Softbe
属于：AdvancedHideFolders
ahqinit.exe
进程文件：ahqinit或者ahqinit.exe
进程名称：SoundblasterAHQInit
描述：
ahqinit.exe是SoundBlasterLive声卡控制程序的一部分。它负责初始化AudioHQ拖放工具条。
出品者：Creative
属于：AudioHQfortheSoundblasterLive
ahqtb.exe
进程文件：ahqtb或者ahqtb.exe
进程名称：AudioHQ
描述：
AHQtb.exe是创新Creative声卡的一部分。用于快速访问你的声卡设置。
出品者：CreativeTechnologyLtd
属于：CreativeSoundcarddrivers
aiepk.exe
进程文件：aiepk或者aiepk.exe
进程名称：AnotherInternetExplorerPopupKiller
描述：
aiepk.exe是一个IE弹出广告拦截产品的一部分。
出品者：FadSoftware,Inc.
属于：aiepk.exe
aiepk2.exe
进程文件：aiepk2或者aiepk2.exe
进程名称：AnotherIEPopupKiller
描述：
aiepk2.exe是一个IE弹出广告拦截产品的一部分。
出品者：FadSoftware,Inc.
属于：AnotherIEPopupKiller
aimingclick.exe
进程文件：aimingclick或者aimingclick.exe
进程名称：AimingClick
描述：
aimingclick.exe是一个搜索工具条程序。
出品者：AimingTechCompany
属于：AimingClick
airsvcu.exe
进程文件：airsvcu或者airsvcu.exe
进程名称：MediaManagerIndexer
描述：
airsvcu.exe是Windows媒体管理程序。该进程会随机启动，并会文件夹进行自动索引。
出品者：MicrosoftCorp.
属于：Windows
aimaol.exe
进程文件：aimaol或者aimaol.exe
进程名称：aimaollptt01
描述：
aimaol.exe是RapidBlaster病毒的一部分。
出品者：未知N/A
属于：RapidBlaster
安全等级(0-5):4
病毒：是
alarm.app.exe
进程文件：alarm或者alarm.app.exe
进程名称：AlarmManager
描述：
alarm.app.exe是提醒程序，用于Palm掌上电脑设置。
出品者：Palm
属于：Palmalarm
airplus.exe
进程文件：airplus或者airplus.exe
进程名称：WLANAdapterUtility
描述：
airplus.exe是D-Link网卡驱动程序的一部分。
出品者：D-Link
属于：D-LinkWlan
AlarmApp.exe
进程文件：AlarmApp或者AlarmApp.exe
进程名称：Alarmapp
描述：
AlarmApp.exe是Palm桌面同步软件的一步法。它用于PC计算机与Palm掌上电脑设备的同步。
出品者：Palm
属于：PalmDesktopsoftware
akiller.exe
进程文件：akiller或者akiller.exe
进程名称：AKiller
描述：
akiller.exe是一个广告拦截程序。
出品者：sbuysse
属于：AKiller
ALCMTR.EXE
进程文件：ALCMTR或者ALCMTR.EXE
进程名称：RealtekEventMonitor
描述：
ALCMTR.EXE是RealTekAC97声卡相关监视服务。
出品者：Realtek
属于：RealtekMultimedia
alarmwatcher.exe
进程文件：alarmwatcher或者alarmwatcher.exe
进程名称：AlarmWatcher
描述：
alarmwatcher.exe是Synaptics触摸板相关程序。
出品者：未知N/A
属于：未知N/A
ALCWZRD.EXE
进程文件：ALCWZRD或者ALCWZRD.EXE
进程名称：RealTekAudioDriverComponent
描述：
ALCWZRD.EXE是RealTek声卡相关驱动程序。
出品者：RealTek
属于：RealTekAudioDriver
]]> http://490751668.qzone.qq.com/blog/1229255327#comment 134218240 Sun, 14 Dec 2008 11:48:47 GMT http://490751668.qzone.qq.com/blog/1229255327 http://490751668.qzone.qq.com/blog/1229154749 典型的改写DNS设置进行欺诈的病毒，中毒后，本来是自动获取IP地址，自动获取DNS的设置被锁定为指定的IP，并且该设置在清除病毒前不可修改。 金山反病毒中心将此病毒命名为“西伯利亚渔夫”（Win32.Troj.Agent.ib.69632) 威胁级别：★★ 。因为任何人上网都是通过DNS服务器解析域名找到相应主机的，这种劫持用户DNS服务器设置的攻击行为，将会带来严重风险。比如：病毒可以将网上银行的网站解析到一个精心设计的钓鱼网站，从而轻易得到用户的机密信息。估计类似的劫持行为，会被更多不怀好意的攻击者利用。
该病毒的行为有：
1.关闭 Dnscache 服务；
修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DhcpNameServer 和 NameServer
85.2*5.1*4.106,85.2*5.1*2.1*5
修改DNS服务器到白俄罗斯的域名解析服务器。
重新打开Dnscache服务。
毒霸反病毒工程师跟踪该毒多个变种中包含的服务器地址后发现，此毒所指向的域名解析服务器主要位于俄罗斯、白俄罗斯、乌克兰等地区，不过，这并不代表此毒就一定是这些地区黑客的作品，因为黑客们通常都是在全球各地租用服务器作案的。
2.检查进程ieuser.exe，找到了就结束该进程。
复制自身到%sys32dir%\kdxxx.exe的中，xxx为3位"a--z"的随机小写字母，同时复制explorer.exe到%sys32dir%下。
3.添加注册表启动项：
Software\Microsoft\Windows NT\CurrentVersion\Winlogon system 指向病毒文件
Software\Microsoft\Windows\CurrentVersion run 指向病毒文件
运行msconfig可以看到病毒添加的启动项
如果系统是Vista，会添加一个服务启动项： Windows Tribute Service。
4.Hook下列函数，隐藏病毒文件
NtSetValueKey
NtResumeThread
NtQueryDirectoryFile
NtDeleteValueKey
OpenProcess
DebugActiveProcess
5.将病毒代码注入到其他的系统进程中执行
被注入代码的、进程的头部+Ch处，有"PE"的标记。 尝试注入的进程有explorer.exe、csrss.exe、runonce.exe、service.exe等等；
注入代码包括循环添加注册表启动项，循环修改DNS服务器设置；
连接远端地址64.*8.1*8.2*1，执行其他的黑客行为，盗取信息，下载；
检查到浏览器iexplorer.exe时，hook下列API：HttpSendRequestA、RegisterBindStatusCallback、recv。
检查到浏览器firefox.exe的话，hook下列API：recv。
6.结束自身进程
保留一个打开的句柄在csrss.exe中，防止自身被删除。 病毒通过以上技术进行隐藏，通常资源管理器搜索，是找不到病毒生成的kd*.exe文件的。
解决方案：
1.使用金山系统急救箱，完成扫描分析后，一次重启就可以解决
2.及时升级毒霸病毒库防止受此病毒病毒骚扰
3.手工解决
使用冰刃的文件管理找到c:\windows\system32\kd*.exe，将其删除。注意：系统自带的文件管理器是看不到这些隐藏的病毒文件的，即使修改文件夹选项为查看隐藏文件也无济于事。
使用冰刃内置的注册表编辑器，浏览到
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon system
HKLM\Software\Microsoft\Windows\CurrentVersion run

删除病毒添加的注册表键，再重启电脑。
]]> http://490751668.qzone.qq.com/blog/1229154749#comment 134218240 Sat, 13 Dec 2008 07:52:29 GMT http://490751668.qzone.qq.com/blog/1229154749