大家是否见过感染图片的病毒呢?国庆前夕，有不少用户反映，数码相机中的照片被病毒感染，所有JPG文件都变成了EXE文件。到底这个病毒是如何感染图片的呢?又有哪些危害?贝壳安全网带大家走近科学，走近”死亡问答”(Sola)宅男病毒。

　　2.神秘病毒大显神通，数码照片惨遭感染

　　9月27日，原本平静的“贝壳意见反馈群”被一张图片打破了沉默了。

　　如此壮观的画面，让各潜水用户纷纷冒泡，询问有什么事情发生。

　　据了解，该用户正打算将数码相机的内存卡连接到笔记本电脑上。结果在打开的同时，病毒突然启动，瞬间感染所有数码相片，JPG文件全数变成EXE文件。他机器上的杀软仅能隔离病毒，却无法清除病毒，也无法恢复原来的照片。最后该用户在贝壳工程师的帮助下，成功清除了病毒，恢复了照片。

　　3.宅男的逆袭，死亡问答触目惊心

　　病毒在第一次执行的时候，会建立%sola%\RunTime.txt文件，并且记录执行次数。当累计执行次数达到50的时候，病毒会死锁计算机，删除系统关键文件，导致用户一旦重新启动计算机，便无法再次进入系统。随后屏幕便会出现下面画面。

　　作者声称制作此病毒是为了报复广电总局对动漫和游戏的歧视性政策。在留言的最后，病毒作者为了不误伤同样爱好动漫和游戏的网友，给出两份考题，一份与动漫相关，另一份与游戏相关。回答正确，病毒会自我清除，并且修复系统，否则进一步破坏系统，使用户不得不重新安装计算机。

　　所有问题均摘自几款在宅男世界视为经典的作品，你能答对多少呢?

　　4.如何清除“死亡问答”(Sola)宅男病毒?

　　如果你中了“死亡问答”(Sola)宅男病毒，用杀毒软件只能查出病毒，但无法恢复被感染图片文件。目前唯一能恢复图片的解决方案，是使用贝壳的《“死亡问答”(Sola)宅男病毒专杀工具》。

　　《“死亡问答”(Sola)宅男病毒专杀工具》能彻底查杀“死亡问答”(Sola)宅男病毒，恢复被感染文件。请您立即下载专杀工具，检测系统是否已经感染该病毒。

　　5.“死亡问答”(Sola)宅男病毒危害性

　　病毒会感染用户近期打开过的DOC，TXT，JPG文件，使之全部变成EXE文件。在病毒执行次数累计超过50的时候，死亡问答便会被激活，同时锁定系统，删除NTLDR(全称是NT Loader，是系统加载程序)。若用户回答问题正确，病毒恢复NTLDR，并且进入自我清除模式。若用户回答失败，则需重装系统。

　　病毒类型：广告病毒
　　病毒目的：进行网络钓鱼

　　真实体验：QQ官方消息也有假？

　　QQ10000，也就是大家常说的QQ官方消息专用号码。它代表QQ官方，所以大家都相信它里面的内容。如果QQ官方消息里面含有钓鱼网站，大家因为信任QQ官方而访问，就很可能上当受骗。

　　各位兄弟姐妹，你们碰到过弹出伪造QQ官方消息的病毒没有?反正我是遇到过，还被它雷得外焦里嫩，下面就要给大家说说。几天前，我正在网上看甲型H1N1流感的新闻，QQ的小喇叭就闪动起来。打开一看，是一个中奖消息(图1)。

　　第一反应是怀疑，这个消息到底是真是假?再仔细看时，发现这条消息是QQ10000发来的，是QQ的官方消息。或许我真的中奖了?!腾讯十周年庆典，我成为了幸运用户，我的运气不是一般的好。

　　我兴奋地点击了“查看详情”登录了领奖网站，中奖QQ网友的名单在不断地滚动，其中就有我的QQ号码。在网页中领奖区域，输入了自己的QQ号码和幸运码，系统提示我中奖信息验证成功。

　　不过，系统也提示要领取奖品还需要缴纳一笔1500元的公证费。看到这里，我才反应过来，这个网站有问题。腾讯说过“腾讯公司所有的中奖活动都会在官方主页上进行公布。对于参加腾讯公司活动中奖的用户，腾讯公司不会收取任何费用”。此外，QQ官方还时常弹出消息要大家不要相信所谓的中奖信息。

　　以前，我的QQ和邮箱经常收到所谓的中奖链接，开始的时候还会点击这些链接，发现都是骗人的，后来就直接忽视它们。这次如果我不是信任QQ官方消息，根本不会点击中奖链接，险些上当。

　　病毒是怎样伪造QQ官方消息的？

　　为什么会弹出假冒的QQ官方消息?我怀疑自己的

　　病毒原理：病毒通过木马下载器进入系统后，会在同一个目录里面释放批处理jcreate.bat，通过它可以关闭《360安全卫士》的进程，接着将病毒文件复制到系统的system32目录中并命名为winlegon.exe。

　　通过病毒名称可以看出，病毒将自身文件伪装成系统文件winlogon.exe，然后将各个监控项目的设置信息修改成“关闭”，最后添加自身到注册表的Run启动项，从而实现病毒随机启动的目的。

　　病毒加载完成以后，会在系统进程中查找QQ的进程。如果查找到有QQ进程，则继续查找QQ软件在右下角的图标，然后模拟一个QQ消息，将病毒文件里面的内容弹出，引诱用户点击进入钓鱼网站里面。

　　严防死守 让QQ不弹假消息

　　第一步：该病毒自保能力不强，可以先考虑用杀毒软件来对付。启动杀毒软件病并确保病毒库是最新的，然后进行全盘查杀。如果该病毒进行过很厉害的免杀，你的杀毒软件什么也没有发现，就继续以下的操作。

　　第二步：运行进程管理工具Wsyscheck(下载地址：upload/200909241740077666.jpg" target="_blank">

　　第三步：点击Wsyscheck中的“安全检查→活动文件”，选择病毒的启动项winlegon.exe，点击右键选择“修复所选项”即可(图4)。点击Wsyscheck中的“文件管理”标签，在系统的system32目录中找到病毒文件winlegon.exe，点击右键选择“直接删除”命令即可。