提醒谨防“QQ抢劫犯”和“杀手小杰”

gao0907

提醒谨防“QQ抢劫犯”和“杀手小杰”
   5月21日，江民反病毒中心提醒用户谨防“QQ抢劫犯”变种adw和“杀手小杰”病毒。“QQ抢劫犯”能够窃取用户QQ密码，“杀手小杰”能够盗取用户玩家网络游戏“大话西游II”的登陆帐号、登陆密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息资料。
   江民反病毒专家介绍，“QQ抢劫犯”变种adw（Trojan/PSW.QQRobber.adw）是“QQ抢劫犯”木马家族的最新成员之一，采用DELPHI语言编写，并经过添加保护壳处理。“QQ抢劫犯”变种adw运行后，复制自身到被感染计算机系统“启动”目录下，重命名为“系统补丁*.exe”（其中*号代表计算机名），并在“Program Files\Common Files\Microsoft Shared\MSInfo\”目录下释放病毒组件“atmQQ2.dll”，通过修改注册表实现木马开机自启动。将病毒组件“atmQQ2.dll”插入到所有用户进程中运行。查找并结束某些安全软件，并通过修改系统时间使某款安全软件失效。“QQ抢劫犯”变种adw尝试删除“QQDoctor.exe”文件，防止QQ登陆前查杀木马。在后台秘密监视用户的操作，当用户登陆QQ时利用HOOK技术记录用户的键盘操作，盗取QQ密码，并将用户的账号密码等机密信息发送到骇客指定的远程服务器中，给用户造成一定的损失。
  “驱动杀手”变种a（TrojanDropper.Driver.a）也叫“杀手小杰”，是木马家族的最新成员之一，采用VC++ 6.0编写，并经过加壳处理。“驱动杀手”变种a运行后，会先在被感染计算机的后台替换系统%SystemRoot%\system32\drivers\目录下的驱动文件“beep.sys”（替换后的恶意驱动程序文件大小为：2,560 字节），接着将该恶意驱动程序注册为系统服务，用来还原系统“SSDT HOOK”，从而使部分安全软件的保护功能失效，达到躲避安全软件的防御和查杀的目的。最后将该恶意驱动程序文件删除，并在被感染计算机系统的%SystemRoot%\system32\dllcache\目录下拷贝一个正常的原系统驱动文件“beep.sys”来覆盖还原恢复被病毒替换的系统驱动文件。
   病毒会在被感染计算机系统的临时文件夹下释放恶意DLL组件文件“tmp1.tmp”（文件大小为：13,873 字节，文件属性为：系统、隐藏、存档），会在被感染计算机系统的%SystemRoot%\system32\目录下释放恶意DLL组件文件“msosdohs00.dll”（文件大小为：13,873 字节，文件属性为：系统、隐藏、存档），会在被感染计算机系统的%SystemRoot%\system32\drivers\目录下释放恶意驱动文件“msosmsfpfis64.sys”（文件大小为：2,560 字节，文件属性为：系统、隐藏、存档），还会在被感染计算机系统的%SystemRoot%\system32\目录下创建一个配置文件“msosdohs.dat”。
  “驱动杀手”变种a运行时，会将恶意驱动程序“msosmsfpfis64.sys”注册为系统服务，用来还原系统“SSDT HOOK”，从而使部分安全软件的保护功能失效，达到躲避安全软件的防御和查杀的目的。会把恶意DLL组件程序“msosdohs00.dll”插入到所有用户级权限的进程中加载运行，防止被用户发现。会在被感染计算机系统的后台利用HOOK和内存截取等技术盗取用户玩家网络游戏“大话西游II”的登陆帐号、登陆密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息资料。并且会在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点“http://www.775911.cn/xiaojie/xjdg886/2564326423657lin.asp”上。由于病毒发送密码的服务器根目录文件名为“xiaojie”（小杰），该病毒被怀疑系一名为“小杰”的骇客编写，因此该病毒也被称为“杀手小杰”。
   江民反病毒专家提醒用户，由于以上病毒均具有关闭杀毒软件功能，因此电脑用户务必选择安装一款自我保护能力强大的杀毒软件保护电脑数据安全，务必及时更新杀毒软件病毒库，开启“主动防御”“实时监测”功能，以防御病毒于系统之外。