「QQ盜號木馬49172」(Win32.PSWTroj.QQpass.px.49172),該病毒是一個QQ盜號木馬。它運行後會刪除QQ醫生的執行文件,然後注入QQ記憶體,讀取用戶的QQ號和密碼。該病毒在偷QQ號的同時,還會記錄用戶的IP地址。
「安全破壞下載者90112」(Win32.Toj.MacDog.aa.90112),這是一個木馬下載者。該病毒運行後,會在當前系統的啟動文件夾中釋放病毒,建立系統服務,劫持常見的安全軟體,然後從網上下載病毒到用戶系統中運行。
一、「QQ盜號木馬49172」(Win32.PSWTroj.QQpass.px.49172) 威脅級別:★
病毒進入用戶電腦後,在系統盤的%WINDOWS%/system32/目錄下釋放出病毒文件SysYH.VXD,並修改系統註冊表,將該文件的相關信息寫入其中,實現自動啟動。
病毒如能成功運行起來,它首先會查找並刪除QQ醫生的執行文件QQDoctor.exe,便於自己下一步的盜號工作。當解決掉QQ醫生,病毒就會搜索並注入QQ即時聊天工具的進程,通過讀取記憶體的方式截獲用戶的QQ號、密碼、QQ等級、Q幣等相關資料。
同時,病毒會悄悄連接IP查詢網站www.i**p.c**,查詢被盜用戶的IP地址,然後把IP地址與把偷得的其它資料一起發送到木馬種植者的郵箱。如果木馬種植者拿到QQ號,可能會將裡面的Q幣洗走,然後賣掉吉利的號碼,也有可能會利用這些QQ號去進行詐騙,給用戶及其好友帶來更大的損失和麻煩。
此外,該病毒具有自我刪除功能,當它運行結束後,就會在同目錄下生成一個_xr.bat文件,實現自刪除,使得用戶不易發現。
二、「安全破壞下載者90112」(Win32.Toj.MacDog.aa.90112) 威脅級別:★★
病毒進入系統後,會將病毒文件_uninsep.bat和1.exe釋放到系統盤的根目錄下,同時在系統盤的「%Documents and Settings%/All Users/「開始」菜單/程序/啟動/」文件夾下生成病毒主文件的副本AtiSrv.exe。它還修改系統註冊表,創建名為「Sc Manager」的系統服務,實現開機自啟動。
接著,病毒迅速查找用戶電腦中是否安裝得有安全軟體,並對它們進行映像劫持。在病毒的劫持列表中有金山毒霸、卡巴斯基、360安全衛士、QQ醫生、瑞星、諾頓等大部分常見安全軟體,一旦被劫持,這些安全軟體就無法運行了。
最後,病毒在用戶無法察覺的情況下建立遠程連接,從木馬種植者指定的網址http://iii.u*6*u.com和http://tttt.5**jx.com下載病毒列表,然後根據下載列表中的地址去下載更多的病毒文件到用戶系統中運行,給用戶的系統安全造成無法估計的威脅。
金山反病毒工程師建議
1.最好安裝專業的殺毒軟體進行全面監控,防範日益增多的病毒。用戶在安裝反病毒軟體之後,應將一些主要監控經常打開(如郵件監控、記憶體監控等)、經常進行升級、遇到問題要上報,這樣才能真正保障計算機的安全。
2.由於玩網絡遊戲、利用QQ聊天的用戶數量逐漸增加,所以各類盜號木馬必將隨之增多,建議用戶一定要養成良好的網絡使用習慣,及時升級殺毒軟體,開啟防火牆以及實時監控等功能,切斷病毒傳播的途徑,不給病毒以可乘之機。
(