文/风啸云

　　我们在上网的时候经常去一些个人网站，可是有一些站长在作站的时候，不顾别人的权益，在其中添加一些恶意代码，这就是最近的QQ病毒产生的原因了。前几天我也中了，虽然没有什么大的危险，但是没次都有一个小尾巴还是很难受的呀(图一)。所以我对这个病毒网站进行了研究。下面是我发现的一些内容。

图一

　　　对于怎么中就不说了，只要你点击他的主页就会感染上了呀，每次都会发送一条关于他的网站的地址说明了，会自动的发送给你的好友了呀，只要你的好友一旦点击就会在中了呀，就是这样了呀`~

　　一、看看怎么查杀QQ病毒

　　中了QQ病毒怎么杀呢？这里有两种方法。一种简单，下个专杀就是了。第二种就是自己手杀了。要发现它也简单，我们先打开任务管理器，看看这里有什么有用的东西。哈哈，有了呀，我发现了一个陌生的进程hao2.exe(如图二).这就是我们要找的QQ病毒了呀。杀了就是了。不过也不是杀了就好了呀，我们在打开注册表，进入HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run在RUN的项下，我们可以看见计算机启动时候加载的启动程序。在看看这里有什么陌生的启动项。哈哈，发现了是一个叫QQ的启动项，路径是\winnt\sendmess.exe(图三)。这就是QQ病毒的启动项。删了就可以了，然后就可以在相应的目录下删除掉就可以了，现在重启一下计算机了。你就会发现病毒没有了呀。杀毒成功了。

图二

图三

　　二、分析病毒网站

　　我们先要分析网站的原代码，在浏览器中输入：view-scource：http://www.hao***.com查看它的原代码，这时候会返回一个记事本，里面写的就是HTML的代码了。我们会发现一段这样的代码

<frameset rows="*" style="border-top-width: 0px; border-left-width: 0px; border-right-width: 0px"><frame src="http://y365.com/lkjz/good/>

　　原来是调用了一个http://y365.com/lkjz/good/的页面(如图四)，那为什么看不见呀！是因为页面的宽和高是0。当然看不见了。

图四

　　我们在看看这个页面有什么东西，使用view-scource：http://y365.com/lkjz/good/看看这代码是什么。我们发现了这么一段代码(如图五)，知道了原来是bb这一文件造成的。下载下来后我又看见了一个网页，用view-scource：http://y365.com/lkjz/good//hei.htm我们终于看见了QQ病毒的程序了，它就是那个叫hao2.exe文件了(如图六)。那它又是怎么加载到注册表的呢。看看hei.htm是不是含有一个Javascript命令，它就是用来加载hao2.exe的语句。那么那些文字又是怎么加的呢？我们可以看见是不是还有一个叫S.SYS文件呀，它的作用就是文字信息了。我们用记事本打开看看，哈哈，是不是有了呀！

图五

图六