正在阅读：金山毒霸2009年2月安全报告金山毒霸2009年2月安全报告

　　6.Win32.Troj.QQPswT.bs.116858    （QQ小偷）

　　病毒特征：盗窃QQ帐号，洗劫用户Q币

　　卡巴命名：Trojan-PSW.Win32.QQPass.fqt

　　瑞星命名：rojan.PSW.Win32.QQPass.dzm\n

　　N0D32命名：Trojan.Win32.PSW.Delf.NLZ

　　BitDefender命名：Generic.PWStealer.B2169547

　　随着近来一些系统安全漏洞的公布，JS脚本木马在网络中大肆挂马，很多老牌病毒借着这股“东风”，又出来兴风作浪、为害网络。“QQ小偷”就是其中之一。

　　这是一款针对QQ即时聊天工具的盗号木马，在之前版本中，它是依靠AUTO及时来进行自动传播的。它每进入一台电脑，就在各磁盘分区中生成自己的AUTO文件，一旦用户在中毒电脑上使用U盘等移动存储设备，这些AUTO文件就会立刻将其感染。这样一来，该病毒就能随着U盘到处传播了。

　　目前受“QQ小偷”威胁最大的，主要是网吧等公共电脑。因为这些电脑的U盘使用率较高，U盘来源也复杂，并且每次电脑重启后都会删除之前下载的文件，以保护系统的清洁。但实际上，这样也会将补丁也一同删除，使得电脑极易遭受那些包含有该病毒下载链接的挂马的攻击。

　　7.win32.hack.thinlpackert.a.378833    （会飞的乌龟壳378833）

　　病毒特征：保护病毒木马，躲避杀软查杀

　　卡巴命名：trojan-Download.Win32.Banload.

　　瑞星命名：Packer.Win32.Agent.r\n

　　N0D32命名：Trojan.Win32.Spy.Banker.ADOZ

　　麦咖啡命名：PWS-Banker trojan

　　BitDefender命名：Trojan.AgenMB.

　　自2月8号发出相关预警后，“会飞的乌龟壳378833”果然出现大幅度的传播趋势。这个“壳”的当月保守感染量达到39万余台次。

　　这个病毒是一个比较老的“壳”，早在去年11月份就已出现。它能够对其它病毒进行加密，保护它们不受安全软件的查杀。病毒“壳”本身没有任何破坏能力，但它可以包裹其它病毒文件，试图让安全软件无法识别出这些病毒。当进入用户系统后，它会先获得控制权，得以运行，然后释放出体内的病毒。这些病毒才是带来真正麻烦的罪犯。

　　给软件加壳，在正常软件中也很常见，这可用于程序的自保护。但有些加密极为复杂、且充斥大量垃圾信息的“壳”，明显是专为对抗安全软件而设计，“会飞的乌龟壳378833”就是此类。金山毒霸反病毒工程师认为，这很可能代表病毒作者正试图借助它来推广另外的某些病毒。

　　8.win32.troj.sysjunk2.ak.32768    （木马驱动器32768）

　　病毒特征：修改系统数据，保证木马顺利运行

　　就和普通制造业的模块化一样，病毒制作也在走向模块化。病毒作者不必亲自写完所有代码，而只需要挑选自己喜欢的模块相组合，就能得到想要的病毒。“木马驱动器32768”就是一个这样的模块。

　　这个驱动文件，加密加花比较强。主要用于恢复系统SSDT表，以及获取系统权限，还可以破坏一些常见安全软件的驱动。这些行为直接决定了木马是否可以成功入侵，难怪病毒作者如此费心的对其进行加密，并且还放上许多花指令试图干扰反病毒工作者的分析。

　　根据金山毒霸云安全系统的统计，“木马驱动器32768”整个2月份在国内网络中，至少尝试攻击了380500台次的电脑，但与它同时入侵的其它木马模块，却又各有不同，也就是说，有多款木马都利用了此模块。看来，这款产品还真受广大病毒作者的欢迎。

　　9.win32.troj.agent.49242    （摘星者下载器）

　　病毒特征：对抗杀软，下载网游盗号木马

　　这个木马早在2007年就曾流行过一次，因为能关闭瑞星的安全提示窗口，被命名为“摘星者”。在销声匿迹一年半后，它又出现了，而且感染量增长迅猛，保守感染值从2月初的不到800台次骤然飙升至月底的37万台次。这次发现的变种，对抗范围大大增加，包含了目前业内大部分的安全软件。

　　该病毒自带有一个庞大的字符库，内容为各安全软件的提示窗口字符和编码。“摘星者”利用它来搜索系统中是否有安全软件的提示窗口弹出，一经发现，便抢在它们显示出来前，将它们关闭，阻止用户获知系统中的异常。

　　随后的行为，就与其它下载器一样，下载列表中几乎都是网游盗号木马，这是也算是国内木马下载器的一个特色了。

　　10.win32.troj.iagent.ie.1114624    （玩家广告机）

　　病毒特征：弹出广告窗口，浪费网络流量

　　卡巴命名：not-a-virus.AdWare.Win32.WSearch.ks

　　瑞星命名：AdWare.Win32.Undef.eme\n

　　N0D32命名：Win32.Adware.WSearch

　　BitDefender命名：Application.Generic.30657

　　通常来说，广告软件带给用户的损失并不大，它们不盗取帐号、不破坏系统，只是不时弹几个广告窗口或将IE首页改成广告网站，让人觉得心烦。不过，“玩家广告机”这个广告程序，它带来的麻烦就比较大。

　　2月“玩家广告机”达到近25万台次的保守感染量。虽然“玩家广告机”进入系统后干的活与其它广告软件无异，但病毒在用户正启动某些大型程序时弹出窗口，就会导致系统由于资源紧张而死机。设想一下，如果你正在使用PS软件或做大型报表，突然死机了，该怎么办？

　　“玩家广告机”目前的版本无法自动传播，必须借助下载器的帮助。另外，病毒团伙有时候也会将这类广告软件伪装成某些软件的启动图标，捆绑与程序中，欺骗用户下载和点击。