【IT168 资讯】江民今日提醒您注意：在今天(2009年5月5日)的病毒中Win32/Tufik.b“土匪”变种b和Trojan/QQFishing.fx“QQ诈骗犯”变种fx值得关注。

　　英文名称：Win32/Tufik.b

　　中文名称：“土匪”变种b

　　病毒长度：8256字节

　　病毒类型：Windows病毒

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：9f6dd83b4f71eca508058da17dd21609

　　特征描述：

　　Win32/Tufik.b“土匪”变种b是“土匪”Windows病毒家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“土匪”变种b运行后，首先会将系统文件“explorer.exe”重新命名并保存到临时文件夹中，然后会在“explorer.exe”文件的尾部添加一个病毒代码节，以此进行感染，实现了开机后随桌面程序的启动而自动运行。“土匪”变种b运行时，会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://tufei503.5*.net/”、“http://tufei503.home4u.chin*.com/”，下载恶意程序，分别重新命名为“AdvKey.dll”和“serial.dll”并自动调用运行。另外，其还可能通过FTP的方式下载其它恶意程序至被感染系统。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或其它恶意广告程序等，致使用户面临更多的威胁。“土匪”变种b还会遍历磁盘上的可执行文件并进行感染，以此达到了自我传播的目的，但同时可能会导致用户在重装系统后再次受到病毒的侵害。由于病毒对可执行文件进行了不正确的读写操作，还可能导致大量的应用程序因此被破坏而无法运行。

　　英文名称：Trojan/QQFishing.fx

　　中文名称：“QQ诈骗犯”变种fx

　　病毒长度：47168字节

　　病毒类型：木马

　　危险级别：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　MD5 校验：2d541788aca8f1a797f216545c588467

　　特征描述：

　　Trojan/QQFishing.fx“QQ诈骗犯”变种fx是“QQ诈骗犯”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“QQ诈骗犯”变种fx是一个通过弹出仿冒“QQ”中奖消息窗口来诱骗用户上当，从而实施网络诈骗的木马程序。“QQ诈骗犯”变种fx运行后，会将恶意代码注入到“explorer.exe”进程中隐密运行。遍历当前系统中所有正在运行的进程，一旦发现指定的安全软件存在时，便会尝试将其结束。利用文件映像劫持功能，干扰安全软件的正常运行，从而使得系统失去安全软件的防护，增加了遭受病毒侵害的风险。“QQ诈骗犯”变种fx运行时，会在系统托盘区域模仿“QQ”广播的“喇叭”图标闪烁，用户点击后将弹出虚假的中奖提示窗口，进一步地将用户引导至钓鱼网站“http://www.qq.com.indl*.cn/”的指定页面并实施诈骗。同时，该网站可能还存在网页挂马等恶意行为，从而使得被感染计算机用户面临更多的威胁。“QQ诈骗犯”变种fx还会向骇客指定的站点“http://www.inds*.cn/”反馈用户的感染情况及计算机信息，并会通过在注册表启动项中添加键值“QQ10000”的方式来实现开机后的自动运行。

　　专家建议广大用户，在“五一”期间应做好如下防范措施：

　　1、一定要安装具备“网页防马墙”和“主动防御”功能的杀毒软件，上网时要确保杀毒软件各项监控都处于开启状态。

　　2、及时打好系统补丁，可以利用江民杀毒软件KV2009的“系统漏洞检查”功能自动检查并下载系统漏洞，减少网页木马入侵的可能。

　　3、在使用即时通讯工具的时候，不要随意接收好友发来的文件，同时，不要轻信对方发来的中奖邀请、电话点歌邀请等。

　　4、将电脑中的应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等，更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。

　　5、在登录网上银行、网络游戏等网络平台时，尽量直接在地址栏输入网页地址，输入帐号密码时建议使用软键盘输入。

　　6、使用网上密码保护软件(如“江民密保”)，可以有效保障网上银行、支付平台、网上证券交易、网络游戏等帐号密码，全面保护用户私密信息。