周末即将到来,在周日的病毒中Trojan/PSW.QQPass.dbv“QQ大盗”变种dbv和Win32/Kdcyy.bb“千足虫”变种bb值得关注。
病毒名称:Trojan/PSW.QQPass.dbv
中 文 名:“QQ大盗”变种dbv
病毒长度:30314字节
病毒类型:木马
危险级别:
影响平台:Win 9X/ME/NT/2000/XP/2003
Trojan/PSW.QQPass.dbv“QQ大盗”变种dbv是“QQ大盗”木马家族的最新成员之一,采用Delphi编写,经过添加保护壳处理。
“QQ大盗”变种dbv运行后,在被感染计算机系统盘下释放病毒文件。修改注册表,自我注册为浏览器辅助对象(BHO),实现木马开机自动运行。在后台秘密监视用户打开的窗口标题,一旦发现用户打开QQ登陆窗口便记录键击,窃取用户的QQ用户名和密码,给用户带来极大的损失。
病毒名称:Win32/Kdcyy.bb
中 文 名:“千足虫”变种bb(又名“磁碟机”)
病毒长度:91652字节
病毒类型:蠕虫
危险级别:
影响平台:Win 9X/ME/NT/2000/XP/2003
Win32/Kdcyy.bb“千足虫”变种bb是“千足虫”家族的最新成员之一,采用VC++6.0编写,并经过加壳保护处理。“千足虫”变种bb运行后,会在被感染计算机系统的“%SystemRoot%\system32\com\”目录下释放病毒组件文件“lsass.exe”、“smss.exe”、“netcfg.000”和“netcfg.dll”,还会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放病毒组件文件“dnsq.dll”。利用驱动程序来恢复SSDTHook,使某些安全软件的监控失效。强行关闭大部分杀毒软件和安全工具软件。被感染计算机系统会经常死机或长时间卡住不动。利用“ARP病毒”在局域网中进行自我传播。感染除系统盘外所有盘符下的EXE可执行文件、网页文件、RAR和ZIP压缩包中的文件等(加密感染),感染后的程序变为16位的图标,图标变模糊,类似于马赛克。一旦发现与安全相关的窗口存在,强行将其关闭。在所有盘符下生成“autorun.inf”和病毒体,并且对这些文件进行实时检测保护,利用移动设备进行传播。破坏注册表,致使用户无法进入“安全模式”、无法查看隐藏的系统文件,致使注册表启动项失效。修改注册表,实现开启自动播放的功能。强行删除所有安全软件的关联注册表项,使其无法开启监控。利用进程守护技术,将病毒的“lsass.exe”、“smss.exe”进程主体和DLL组件进行关联,实现进程守护,一旦病毒文件被删除或被关闭,便马上生成并重新运行。以系统级权限运行,部分进程使用了进程保护技术。利用控制台命令来设置病毒程序文件的访问运行权限。利用了重启移动文件的技术,在用户重新启动计算机时,会把病毒主程序体移动到系统启动文件夹中,实现开机自启动。“千足虫”变种bb会在被感染计算机系统的后台访问骇客指定的广告站点,进行提升访问量,刷网络排名等操作。另外,“千足虫”变种bb还可以自升级。
针对以上病毒,江民反病毒中心建议广大电脑用户:
立即升级江民杀毒软件等防病毒程序并进行全面杀毒,开启各项监控,对于网上银行、支付平台、网上证券交易、网络游戏等账号密码等,要妥善保管,尽量不在有可能存在安全隐患的电脑上使用。
