近幾日,“QQ密探”連續發作,先后有A、B兩個變種出現。該變種病毒采用了QQ病毒感染及運行的新方法,給廣大的QQ用戶帶來了前所未有的安全隱患。金山公司在國內率先截獲了該病毒,并且在短時間了完成了對該病毒的查殺升級。讓我隨著金山毒霸反病毒工程師的介紹,對該病毒兩個變種做一次完全揭秘。
“QQ密探”變種A( Win32.Troj.QQNark.a),于2004年5月24日發現,并于當日處理。威脅級別: 3C,病毒類型: 木馬,影響系統:Windows 9x/Me/NT/2000/XP/2003。
該病毒通過監視QQ的接收消息來響應遠程控制端的操作,病毒可以執行的操作包括:上傳、下載、執行文件,共享硬盤,關閉、重啟計算機,抓屏并發送E-mail,通過進程名或ID來終止進程的運行,關閉、卸載木馬等。
“QQ密探”變種B(Win32.Troj.QQNark.b),于2004年5月24日發現,并于當日處理。
威脅級別: 3C,病毒類型: 木馬。影響系統:Windows 9x/Me/NT/2000/XP/2003。
該病毒危害與變種A的破壞方式幾乎完全一樣,只是變種B技術特點方面在變種A的基礎上作了修改,它改進了它的發郵件功能,解決了發送郵件失敗的問題,增強了竊密能力,需要更加注意防范。
“QQ密探” 變種A與變種B都是遠程控制端通過生成相應的QQ消息來控制其服務端,發送的消息跟病毒進行的操作對應如下:
“去看看!wsdgs!!@@iXT 3;lGim OKdrk uLL&&&&ldUimlw$$”->此發送的消息為下載木馬網址(@@后面是隨機字符);
“我看看!wsdgs@@0/$s^t&&&&”→此消息為從染毒機器中下載文件;
“你好!wsdgs@@1234567&&&&”→此消息為共享C盤;
“去試試!wsdgs@@iXT 3;lGim OKdrk uLL&&&&”→此消息執行文件;
“死機了?wsdgs”→關機;
“掉線了?wsdgs”→重啟;
“在干嘛?wsdgs!! ”→抓屏并發Mail;
“還在。縲sdgs!! ”→列舉進程并Mail;
“怎么了?wsdgs@@1234&&&&”→關閉進程;
“冷雨打芭蕉”→關閉對方QQ;
“江湖一劍飄”→關閉木馬;
“天涯任逍遙”→卸載木馬。
目前由于該病毒的進程名是斷變化的,金山毒霸反病毒工程師告誡廣大用戶不要以手工方式來解決該病毒,因為我們手工并不易手工清除。如有金山毒霸的用戶可以升級自己的病毒庫到2004年5月26日,就可以完全處理該病毒。同時我們盡量預防該病毒的作怪,盡量養成良好的電腦操作習慣,不要輕易運行QQ上發送過來的具有誘惑性名稱的不明文件,并一定要對收到的文件進行查毒操作,確保無毒后再運行。如萬一有用戶不幸中了該病毒,可以到http://www.duba.net/download/3/34.shtml 下載最新的QQ專殺工具,進行全盤查殺,徹底清除該病毒。
| 首頁 | 業界資訊 | 操作系統 | 殺毒防毒 | 辦公軟件 | 下載 | 開發編程 | 硬件 | 培訓 | 貼圖 網址 | 互聯思考 | 常用軟件 | 沖浪寶典 | 聊天軟件 | 資料 | 硬件頻道 | 設計 | 訂閱本站 RSS |
