謹(jǐn)防“隱形賊”和“QQ秀”木馬病毒

江民今日提醒您注意：在今天的病毒中Trojan/Delux.h“隱形賊”變種h和Trojan/PSW.QQShou.id“QQ秀”變種id值得關(guān)注。

英文名稱：Trojan/Delux.h

中文名稱：“隱形賊”變種h

病毒長度：58928字節(jié)

病毒類型：木馬

危險(xiǎn)級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

Trojan/Delux.h“隱形賊”變種h是“隱形賊”木馬家族中的最新成員之一，采用“Microsoft Visual C++ 6.0”編寫?！半[形賊”變種h運(yùn)行后，會自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%system32”目錄下，重新命名為“myname5.exe”。在相同目錄和“%SystemRoot%system32drivers”目錄下分別釋放惡意DLL功能組件和惡意驅(qū)動(dòng)文件，文件屬性設(shè)置為“系統(tǒng)、隱藏”。將DLL組件注入到系統(tǒng)進(jìn)程“l(fā)sass.exe”中加載運(yùn)行，隱藏自我，防止被查殺。將病毒副本注冊為系統(tǒng)服務(wù)，以此實(shí)現(xiàn)木馬開機(jī)自動(dòng)運(yùn)行。運(yùn)行后，在指定的目錄下生成配置文件，并調(diào)用之前釋放的惡意驅(qū)動(dòng)程序來進(jìn)行病毒文件及其進(jìn)程、注冊表項(xiàng)目的隱藏，防止了被用戶和殺毒軟件輕易地發(fā)現(xiàn)，提高了木馬自身的生存幾率。在后臺監(jiān)視系統(tǒng)中的移動(dòng)存儲設(shè)備，如果發(fā)現(xiàn)有新的移動(dòng)存儲設(shè)備接入時(shí)，便會向其中復(fù)制“隱形賊”變種h的副本和自動(dòng)運(yùn)行配置文件。同時(shí)，還會向除了系統(tǒng)分區(qū)之外的所有分區(qū)復(fù)制這些惡意文件，企圖利用系統(tǒng)的自動(dòng)運(yùn)行特性來達(dá)到病毒傳播的目的。另外，“隱形賊”變種h會自我刪除，從而達(dá)到了消除痕跡的目的。

英文名稱：Trojan/PSW.QQShou.id

中文名稱：“QQ秀”變種id

病毒長度：16548字節(jié)

病毒類型：木馬

危險(xiǎn)級別：★

影響平臺：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.QQShou.id“QQ秀”變種id是“QQ秀”木馬家族中的最新成員之一，采用高級語言編寫，并且經(jīng)過加殼保護(hù)處理?！癚Q秀”變種id運(yùn)行后，會自我復(fù)制到被感染計(jì)算機(jī)系統(tǒng)的“%SystemRoot%system32”目錄下，并重新命名為“ravseteni.exe”。同時(shí)，還會在相同的目錄中釋放木馬配置文件和運(yùn)行時(shí)所需要的庫文件?！癚Q秀”變種id是一個(gè)專門盜取即時(shí)聊天工具“騰訊QQ”賬號信息的木馬程序，會在被感染計(jì)算機(jī)的后臺秘密監(jiān)視“騰訊QQ”的登陸窗口，一旦發(fā)現(xiàn)“QQ”程序啟動(dòng)時(shí)，便會利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取用戶所輸入的賬號信息，并在后臺將竊取到的用戶機(jī)密信息發(fā)送到駭客指定的郵箱中，給“騰訊QQ”的用戶造成了不同程度的損失。同時(shí)，“QQ秀”變種id在運(yùn)行時(shí)，還會遍歷被感染系統(tǒng)中運(yùn)行的所有進(jìn)程，如果發(fā)現(xiàn)某些指定的安全軟件存在時(shí)，就會嘗試將其強(qiáng)行關(guān)閉，從而達(dá)到了自我保護(hù)的目的。另外，“QQ秀”變種id通過修改系統(tǒng)注冊表啟動(dòng)項(xiàng)來實(shí)現(xiàn)木馬的開機(jī)自動(dòng)運(yùn)行。

針對以上病毒，江民反病毒中心建議廣大電腦用戶：

    1、請立即升級江民殺毒軟件，開啟新一代智能分級高速殺毒引擎及各項(xiàng)監(jiān)控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計(jì)算機(jī)。

    2、江民KV網(wǎng)絡(luò)版的用戶請及時(shí)升級控制中心，并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒，保證企業(yè)信息安全。

    3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù)，能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”、“生僻殼”病毒進(jìn)行脫殼掃描，有效清除“殼病毒”。

    4、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能，該功能可對病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時(shí)間、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動(dòng)干預(yù)、處理，有效地遏制了未知病毒對系統(tǒng)所造成的干擾和破壞，更大程度的提高了計(jì)算機(jī)對于未知病毒的防范能力。

    5、江民殺毒軟件擁有強(qiáng)大的自防御體系，能有效阻止“驅(qū)動(dòng)級病毒”關(guān)閉和破壞殺毒軟件，確保殺毒軟件所有功能的完全發(fā)揮，為保障系統(tǒng)和數(shù)據(jù)安全打下了堅(jiān)實(shí)的基礎(chǔ)。

    6、江民防馬墻，能夠第一時(shí)間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁，可以自動(dòng)搜集惡意網(wǎng)址并加入特征庫，阻止了網(wǎng)頁木馬的傳播，有效地保障了用戶的上網(wǎng)安全。

    7、全面開啟BOOTSCAN功能，在系統(tǒng)啟動(dòng)前殺毒，清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。