江民25日病毒播报：警惕“QQ抢劫犯”等病毒

江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQRobber.afi“QQ抢劫犯”变种afi和Trojan/Hijack.by“劫持犯”变种by值得关注。

　　病毒名称：Trojan/PSW.QQRobber.afi
　　中 文 名：“QQ抢劫犯”变种afi
　　病毒长度：21504字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.QQRobber.afi“QQ抢劫犯”变种afi是“QQ抢劫犯”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“QQ抢劫犯”变种afi运行后，自我复制到被感染计算机系统的“%SystemRoot%system32”目录下，重命名为“NTsys.exe”。修改注册表，实现木马开机自动运行。破坏数款防火墙程序，查找并强行关闭某些安全软件，还可能会通过修改系统时间使某些安全软件失效，极大地降低了被感染计算机系统的安全性。在被感染计算机的后台秘密监视用户的操作以及窗口标题，当用户登陆QQ或者申请QQ密码保护时，利用HOOK技术以及内存截取技术窃取用户输入的内容，盗取QQ密码，并将用户的账号、密码等机密信息发送到骇客指定的远程服务器中，给用户造成一定的损失。另外，“QQ抢劫犯”变种afi还具有自我删除的功能，以便消除痕迹。

　　病毒名称：Trojan/Hijack.by
　　中 文 名：“劫持犯”变种by
　　病毒长度：109568字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/Hijack.by“劫持犯”变种by是“劫持犯”木马家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“劫持犯”变种by运行后，在被感染计算机系统的“%SystemRoot%system32”目录下释放组件“MsWinBox.exe”。自我注册为系统服务，实现木马开机自动运行。在“%SystemRoot%system32drivers”目录下释放恶意驱动文件，覆盖系统文件“beep.sys”并加载运行。该驱动文件可还原系统“SSDT”，致使某些安全软件的防御和监控功能失效，从而达到躲避监控的目的。将恶意代码注入到“explorer.exe”进程中运行，隐藏自身，躲避安全软件的查杀。另外，“劫持犯”变种by还会与骇客指定的服务器建立网络连接，侦听骇客指令，骇客可通过“劫持犯”变种by远程控制被感染计算机系统，严重威胁用户计算机信息安全。

　　针对以上病毒，江民反病毒中心建议广大电脑用户：

　　1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

　　2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

　　3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

　　4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。

　　5、江民杀毒软件新型主动防御集成了BOOTSCAN、木马一扫光、系统监测、网页监控等多种主动防御功能，更可对未知病毒进行主动监控，即使有个别新病毒和恶性病毒入侵了系统，也无法逃脱江民杀毒软件主动防御的层层截杀，更好地保护用户上网安全。

　　6、“江民密保”可有效保护网上银行、支付平台、网上证券交易、网络游戏等账号密码，全面保护用户私密信息。

　　7、江民防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。

　　8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.asp

　　有关更详尽的病毒技术资料请直接拨打江民公司的技术服务热线800-810-2300和010-82511177进行咨询，或访问江民网站http://www.jiangmin.com进行在线查阅。

未经允许不得转载：DOIT » 江民25日病毒播报：警惕“QQ抢劫犯”等病毒