谨防"隐形大盗"和"QQ大盗"木马病毒-网络安全专区

谨防"隐形大盗"和"QQ大盗"木马病毒

作者：IT168.com 编辑：杨京京 2008-10-29 08:01 来源：IT168�

　　【IT168 资讯】江民今日提醒您注意：在今天的病毒中Trojan/Delux.b“隐形贼”变种b和Trojan/PSW.QQPass.cvv“QQ大盗”变种cvv值得关注。

　　英文名称：Trojan/Delux.b

　　中文名称：“隐形贼”变种b

　　病毒长度：51760字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/Delux.b“隐形贼”变种b是“隐形贼”木马家族中的最新成员之一，采用“VC++”编写，并且经过加壳保护处理。“隐形贼”变种b运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，并重新命名为“hotss.exe”，文件属性设置为：系统、隐藏、存档。在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目录下分别释放病毒组件“hotss.dll”和“hotss.sys”。修改注册表，实现木马开机自动运行。“隐形贼”变种b运行时，会将恶意可执行代码注入到系统“lsass.exe”进程中调用运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀。利用高级的Rootkit技术(内核级的钩子“SSDT HOOK”与“FSD HOOK”)隐藏病毒进程、病毒文件、病毒在注册表中的启动项等特征信息，防止被用户和安全软件发现、查杀。在被感染计算机系统的后台连接骇客指定的远程服务器站点，获取远程控制端真实地址，然后侦听骇客指令，从而使骇客达到远程控制的目的。“隐形贼”变种b还具有远程监视、控制等功能，它可以对文件进行任意操作、监视用户的一举一动(如：键盘输入、屏幕显示、光驱操作、文件读写、鼠标操作和摄像头操作等)，还可能会窃取用户计算机中存放的机密信息，修改或删除这些机密资料，给用户的计算机安全和个人隐私带来严重的威胁，甚至对商业机密造成无法挽回的损失。用户计算机一旦感染了“隐形贼”变种b便会变成网络僵尸傀儡主机，骇客便会利用被感染的计算机对任意重要服务器站点进行DDoS攻击和洪水攻击等。

　　英文名称：Trojan/PSW.QQPass.cvv

　　中文名称：“QQ大盗”变种cvv

　　病毒长度：101376字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.QQPass.cvv“QQ大盗”变种cvv是“QQ大盗”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。该病毒是由其它恶意程序释放出来的DLL功能组件，一般会被注入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在被感染计算机系统的后台执行恶意操作，隐藏自我，防止被安全软件查杀。在被感染计算机系统的后台连接骇客指定的远程服务器站点，获取配置文件(加密)，然后根据该文件中的设置执行相应的恶意操作。修改注册表，实现木马开机自动运行。“QQ大盗”变种cvv是一个专门盗取“QQ网络游戏”会员账号的木马程序，会在被感染计算机的后台秘密监视用户系统中所运行着的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点上(地址加密存放)，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家带来不同程度的损失。另外，“QQ大盗”变种cvv还可以自升级。

　　针对以上病毒，江民反病毒中心建议广大电脑用户：

　　1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

　　3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

　　4、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监控、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，对病毒层层拦截，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御系统的层层截杀，更好地保护用户上网安全。

　　5、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。

　　6、使用Windows Update功能打全系统补丁，避免病毒以网页木马的方式入侵到系统中。

　　7、将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等;更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。

　　8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

　　有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

关注我们