用户警惕:qq盗号木马衍生auto病毒

卫士杀手下载器”（Win32.TrojDownloader.Delf.a），这是一个会通过网络自动传播的下载者程序。它进入计算机系统后会结束安全软件360安全卫士进程，然后通过连接网络下载大量其他病毒木马，并打开后门供黑客连接。
   　
    “QQ盗号木马110771”（Win32.Troj.QQPassT.ah.110771），该木马会盗取用户的QQ号码，并会从网络下载大量病毒运行。

    一、“卫士杀手下载器”（Win32.TrojDownloader.Delf.a）  威胁级别：★
   
　　这是一个木马下载者程序。启动成功后，它立刻将系统文件夹的显示模式设置为不显示隐藏文件，避免用户发现它生成的文件。随后，创建批处理文件%systemroot%\tmipo.bat，关闭安全软件“360安全卫士”的进程。
   
    关闭动作成功后，该病毒自动打开系统4444端口，等待木马制作者发出的指令。同时，在用户无法察觉的情况下，连接http://www*****93.com和http://61******.163两个地址，下载大量其他木马病毒，并在%systemroot%\config\AppEventw.cfg中保存下载信息，给用户造成无法估计的损失。
   
    除了在受害计算机上进行破坏，病毒还会尝试使用IPC$连接网段内其他IP查找共享目录，如果搜索到用户名为Administrator，密码为：123456, password, 1111, admin等各种弱口令的计算机，病毒就会把自己复制过去，扩大自己的传染范围。由于之前已经关闭了“360安全卫士”，用户将无法发现该病毒的整个作案过程。

    二、“QQ盗号木马110771”（Win32.Troj.QQPassT.ah.110771）  威胁级别：★
  
　　这是一个QQ盗号木马。病毒运行成功后，会在C:\Program Files\Internet Explorer\PLUGINS\路径下生成SysWin78.Jmp和WinSys88.Sys两个文件。同时，病毒还在E盘根目录生成AUTO病毒，分别是AutoRun.exe和辅助文件AutoRun.inf。当用户左键双击进入该盘时，病毒随之触发。病毒发作早期有个明显症状，就资源管理器会自动弹出，指向路径为E:\。用户可通过这点判断电脑中了该病毒。
   
    紧接着，病毒将之前生成的WinSys88.Sys文件添加到注册表，这样它便可以随桌面启动，并监视用户是否有打开QQ聊天软件，如发现，就会立刻盗取QQ号和密码，发送到http://www.***k.com/3r543z/win.asp、http://do*****er888.cn/chery/default.asp、http://www.q****l.com/up.asp这几个地址。
   
    除了盗取QQ号，病毒还会连接http://bt.eti*****8.com、http://www.a****a.com、http://www.n****t.cn这三个地址，下载更多的病毒，给用户造成更大的损失。

  
    金山反病毒工程师建议
 
    1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控、内存监控等），遇到问题要上报， 这样才能真正保障计算机的安全。
   
    2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。