01月15日病毒木马预警

绿茶

瑞星、金山、江民联合发布

江民1月15日病毒播报：谨防QQ游贼后台窃取QQ帐号密码以及IP地址信息

江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQGame.ek“QQ游贼”变种ek和Trojan/PS
W.GamePass.adtr“网游大盗”变种adtr值得关注。

病毒名称：Trojan/PSW.QQGame.ek

中 文 名：“QQ游贼”变种ek

病毒长度：65442字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.QQGame.ek “QQ游贼”变种ek是“QQ游贼”木马家族的最新成员之一，采用Delphi语言编写。“QQ游贼”变种ek运行后，自我注入到被感染计算机系统的 “explorer.exe”进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。窃取被感染计算机上用户的QQ帐号、QQ密码、 IP地址等信息，并在后台将窃取到的信息发送到骇客指定的远程服务器站点上或邮箱里。另外，“QQ游贼”变种ek会在被感染计算机系统的后台连接骇客指定 站点，下载其它恶意程序并在被感染计算机上自动调用运行，给用户带来不同程度的损失。

病毒名称：Trojan/PSW.GamePass.adtr

中 文 名：“网游大盗”变种adtr

病毒长度：59392字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.GamePass.adtr “网游大盗”变种adtr是“网游大盗”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳处理。“网游大盗”变种adtr运行后，自我注入 到被感染计算机系统的“explorer.exe”进程中加载运行，隐藏自身进程，防止被查杀。修改注册表，实现木马开机自动运行。在后台秘密监视用户打 开的窗口标题，专门窃取Yahoo Messenger聊天工具用户的帐号、密码等机密信息，并在被感染计算机后台将窃取到的信息发送到骇客指定的远程服务器站点上，给用户带来一定程度的损 失。

金山毒霸每日病毒预警

“窃听木马184320”（Win32.Troj.Agent.184320），这是一个黑客木马。该木马会修注册表，添加自己的监视程序。系统启动时，它着随Exlporer.exe启动，然后利用监视程序拦截用户访问网络时输入的敏感数据。

“QQ盗号木马120312”（Win32.PSWTroj.QQShou.dt.120312），该病毒是针对QQ即时聊天工具的一个盗号木马。该病毒通过读取内存盗取用户的账号信息，并连同被盗QQ号的QQ等级、Q币等信息一起发给木马种植者。

一、“窃听木马184320”（Win32.Troj.Agent.184320） 威胁级别：★★

病毒进入用户电脑系统后，在%WINDOWS%\system32\目录下释放出病毒文件ro.dll，然后修改注册表，将自己的相关数据写入其中，实现开机自启动之目的。

一旦成功地随系统运行起来，病毒就会展开全局监视程序，过滤用户上网时输入的敏感数据，比如看上去很像帐号、密码、机密资料等内容的数据。然后在用户无法知晓的情况下建立远程连接，将这些偷来的敏感数据发送给收集者。

病毒作者为了保证偷来的数据能传到自己的手中，设定了近20个的远程服务器地址，资深用户如果使用工具查看，会被长长的地址栏所震惊。

二、“QQ盗号木马120312”（Win32.PSWTroj.QQShou.dt.120312） 威胁级别：★

病 毒进入系统后，在系统盘的%Program Files%\Internet Explorer\Connection Wizard\目录下释放出病毒文件isignup.dll和isignup.sys ，然后修改注册表，把自己的相关信息写入启动项，实现随系统启动而运行起来之目的。

病毒运行后把之前生成的isignup.sys病毒文件注入到非系统进程当中，搜索QQ即时聊天软件的进程，发现后注入其中，通过读取内存盗取用户的账号信息。

如果顺利得手，病毒就悄悄建立远程连接，将用户QQ的Q币金额，等级相关的信息连同账号密码一并发送到木马种植者的邮箱中。

当运行完成后，病毒文件就生成一个 _xiaren.bat文件，删除自己的原始文件，使用户无法找到病毒源。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年1月14的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

瑞星01月15日反病毒及木马播报

据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“黑冰蠕虫（Worm.Win32.BlackIce.a）”病毒。该病毒通过恶意网站传播，从黑客指定网站下载病毒并用自身编写的宏病毒代码感染doc,xls的文件，给用户造成损害并以传播。

本日热门病毒：

“黑冰蠕虫（Worm.Win32.BlackIce.a）”病毒：警惕程度★★★，通过恶意网站传播，蠕虫病毒，依赖系统：Windows XP/NT/2000/2003。

这 是一个蠕虫病毒。该病毒运行后会创建一个名为"blackicemutex"的互斥量来判断当前操作系统版本以保证它在NT平台运行。同时复制文件到系统 目录下保存名为blackice.exe,kernel.dll并设置文件属性为"只读，隐藏，系统"。然后在windows.ini文件中写入自启动项 以实现自启，还同时从黑客指定网站下载病毒。此外该病毒还创建宏病毒代码并用BASE64加密，之后遍历硬盘中的后缀名为doc,xls的文件，并用该宏 病毒代码感染文件。而且创建一个名为"watchusb"的窗口，随时监视可移动设备以伺机传播。

反病毒专家建议电脑用户采取以下措施预 防该病毒：1、安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次；2、使用“瑞星系统安全漏洞扫描”，打好补 丁，弥补系统漏洞；3、不浏览不良网站，不随意下载安装可疑插件；4、不接收QQ、MSN、Emial等传来的可疑文件；5、上网时打开杀毒软件实时监控 功能；


终于。。。。我又有空闲了。！呵呵
咱以后还是泡这里吧~！