英文名稱：TrojanDropper.Wolfst.a

中文名稱：“社交騙子”變種a

病毒長度：107015字節(jié)

病毒類型：木馬釋放器

危險級別：★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：fc2e6a5b5c28eb45126bc0ee7e21304b

特征描述：

TrojanDropper.Wolfst.a“社交騙子”變種a是“社交騙子”木馬釋放器家族中的最新成員之一，采用“Borland Delphi 4.0 - 5.0”編寫?！吧缃或_子”變種a運行后，會在被感染計算機(jī)系統(tǒng)的“%SystemRoot%\”文件夾下釋放惡意程序“11111.EXE”和“PINCH.EXE”并調(diào)用運行。“11111.EXE”會修改hosts文件，利用域名劫持使得用戶在訪問社交網(wǎng)站“vkontakte.ru”時自動轉(zhuǎn)到一個高度仿真的釣魚網(wǎng)站，從而騙取用戶輸入的賬號和密碼?！癙INCH.EXE”會在被感染計算機(jī)的后臺遍歷當(dāng)前系統(tǒng)中所有窗口，一旦發(fā)現(xiàn)指定安全軟件的窗口便會通過發(fā)送特定消息的方式將其關(guān)閉。如果無法將其關(guān)閉，自身將退出運行，從而達(dá)到了隱藏自我的目的?！吧缃或_子”變種a會通過讀取注冊表、讀取軟件默認(rèn)安裝位置等方式定位“ICQ”、“CuteFTP”、“Opera”、“BatMail”等多種郵件管理器、即時聊天軟件、網(wǎng)頁瀏覽器、FTP管理工具的安裝位置，查找并讀取這些軟件的賬戶數(shù)據(jù)，并將這些數(shù)據(jù)發(fā)送到駭客指定的收信頁面上，致使被感染系統(tǒng)用戶的私密信息泄露，造成了不同程度的損失。

英文名稱：Trojan/PSW.QQPass.xhg

中文名稱：“QQ大盜”變種xhg

病毒長度：107008字節(jié)

病毒類型：盜號木馬

危險級別：★★

影響平臺：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：00093fd0187f95bdfb0d9ef81c4a8686

特征描述：

Trojan/PSW.QQPass.xhg“QQ大盜”變種xhg是“QQ大盜”盜號木馬家族中的最新成員之一，采用高級語言編寫，并且經(jīng)過加殼保護(hù)處理?！癚Q大盜”變種xhg運行后，會自我復(fù)制到被感染系統(tǒng)的“%SystemRoot%\Web\printers\images\”文件夾下，重新命名為“fgerq.exe”。同時還會在該文件夾下釋放惡意DLL組件“fgerq.dll”，并將文件屬性設(shè)置為“系統(tǒng)、隱藏、只讀”?！癚Q大盜”變種xhg是一個盜取“雅虎奇摩”會員賬號及“熱血江湖 Online”網(wǎng)絡(luò)游戲賬號的木馬程序，運行后會首先確認(rèn)自身是否已經(jīng)插入到桌面進(jìn)程“explorer.exe”中。安裝消息鉤子，監(jiān)視當(dāng)前系統(tǒng)的狀態(tài)，伺機(jī)進(jìn)行惡意操作。定位“yahoobuddymain”窗口并插入“ybclient.exe”進(jìn)程，利用消息鉤子、內(nèi)存截取等技術(shù)盜取用戶的賬號、密碼、身份證號、角色名等信息，并在后臺將竊取到的這些機(jī)密信息發(fā)送到駭客指定的收信頁面“http://www.dj9988d*.com/tw/upfile.asp”等上（地址加密存放），致使用戶的賬號丟失。另外，“QQ大盜”變種xhg會修改注冊表“ShellExecuteHooks”鍵，以此實現(xiàn)盜號木馬的開機(jī)自動運行。

針對以上病毒，江民反病毒中心建議廣大電腦用戶：

1、請立即升級江民殺毒軟件，開啟新一代智能分級高速殺毒引擎及各項監(jiān)控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計算機(jī)。

2、江民KV網(wǎng)絡(luò)版的用戶請及時升級控制中心，并建議相關(guān)管理人員在適當(dāng)時候進(jìn)行全網(wǎng)查殺病毒，保證企業(yè)信息安全。

3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù)，能夠?qū)Ω鞣N主流殼以及疑難的“花指令殼”、“生僻殼”病毒進(jìn)行脫殼掃描，有效清除“殼病毒”。

4、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能，該功能可對病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時間、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動干預(yù)、處理，有效地遏制了未知病毒對系統(tǒng)所造成的干擾和破壞，更大程度的提高了計算機(jī)對于未知病毒的防范能力。

5、江民防馬墻，能夠第一時間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁，可以自動搜集惡意網(wǎng)址并加入特征庫，阻止了網(wǎng)頁木馬的傳播，有效地保障了用戶的上網(wǎng)安全。

6、全面開啟BOOTSCAN功能，在系統(tǒng)啟動前殺毒，清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。

7、江民殺毒軟件新增強(qiáng)大的啟發(fā)式掃描，能夠啟發(fā)掃描90％以上的未知病毒。 

 8、江民針對感染Delphi編譯環(huán)境和應(yīng)用程序的“Delphi侵蝕者”病毒推出了專殺工具，請廣大Delphi開發(fā)人員和網(wǎng)民立即下載并對系統(tǒng)進(jìn)行掃描，從而避免成為病毒傳播的源頭以及被該病毒所感染。下載地址：http://filedown.jiangmin.com/download/JMInducKiller.exe

9、懷疑已中毒的用戶可使用江民免費在線查毒進(jìn)行病毒查證。免費在線查毒地址：http://online.jiangmin.com/

有關(guān)更詳盡的病毒技術(shù)資料請直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢，或訪問江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱。

【編輯推薦】

1. 病毒日報- 51CTO.COM
2. 病毒周報- 51CTO.COM