提醒謹(jǐn)防“QQ搶劫犯”和“殺手小杰”

gao0907

提醒謹(jǐn)防“QQ搶劫犯”和“殺手小杰”
   5月21日，江民反病毒中心提醒用戶謹(jǐn)防“QQ搶劫犯”變種adw和“殺手小杰”病毒。“QQ搶劫犯”能夠竊取用戶QQ密碼，“殺手小杰”能夠盜取用戶玩家網(wǎng)絡(luò)游戲“大話西游II”的登陸帳號(hào)、登陸密碼、倉(cāng)庫(kù)密碼、角色等級(jí)、金錢數(shù)量、所在區(qū)服、計(jì)算機(jī)名稱等信息資料。
   江民反病毒專家介紹，“QQ搶劫犯”變種adw（Trojan/PSW.QQRobber.adw）是“QQ搶劫犯”木馬家族的最新成員之一，采用DELPHI語(yǔ)言編寫(xiě)，并經(jīng)過(guò)添加保護(hù)殼處理。“QQ搶劫犯”變種adw運(yùn)行后，復(fù)制自身到被感染計(jì)算機(jī)系統(tǒng)“啟動(dòng)”目錄下，重命名為“系統(tǒng)補(bǔ)丁*.exe”（其中*號(hào)代表計(jì)算機(jī)名），并在“Program Files\Common Files\Microsoft Shared\MSInfo\”目錄下釋放病毒組件“atmQQ2.dll”，通過(guò)修改注冊(cè)表實(shí)現(xiàn)木馬開(kāi)機(jī)自啟動(dòng)。將病毒組件“atmQQ2.dll”插入到所有用戶進(jìn)程中運(yùn)行。查找并結(jié)束某些安全軟件，并通過(guò)修改系統(tǒng)時(shí)間使某款安全軟件失效。“QQ搶劫犯”變種adw嘗試刪除“QQDoctor.exe”文件，防止QQ登陸前查殺木馬。在后臺(tái)秘密監(jiān)視用戶的操作，當(dāng)用戶登陸QQ時(shí)利用HOOK技術(shù)記錄用戶的鍵盤(pán)操作，盜取QQ密碼，并將用戶的賬號(hào)密碼等機(jī)密信息發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器中，給用戶造成一定的損失。
  “驅(qū)動(dòng)殺手”變種a（TrojanDropper.Driver.a）也叫“殺手小杰”，是木馬家族的最新成員之一，采用VC++ 6.0編寫(xiě)，并經(jīng)過(guò)加殼處理。“驅(qū)動(dòng)殺手”變種a運(yùn)行后，會(huì)先在被感染計(jì)算機(jī)的后臺(tái)替換系統(tǒng)%SystemRoot%\system32\drivers\目錄下的驅(qū)動(dòng)文件“beep.sys”（替換后的惡意驅(qū)動(dòng)程序文件大小為：2,560 字節(jié)），接著將該惡意驅(qū)動(dòng)程序注冊(cè)為系統(tǒng)服務(wù)，用來(lái)還原系統(tǒng)“SSDT HOOK”，從而使部分安全軟件的保護(hù)功能失效，達(dá)到躲避安全軟件的防御和查殺的目的。最后將該惡意驅(qū)動(dòng)程序文件刪除，并在被感染計(jì)算機(jī)系統(tǒng)的%SystemRoot%\system32\dllcache\目錄下拷貝一個(gè)正常的原系統(tǒng)驅(qū)動(dòng)文件“beep.sys”來(lái)覆蓋還原恢復(fù)被病毒替換的系統(tǒng)驅(qū)動(dòng)文件。
   病毒會(huì)在被感染計(jì)算機(jī)系統(tǒng)的臨時(shí)文件夾下釋放惡意DLL組件文件“tmp1.tmp”（文件大小為：13,873 字節(jié)，文件屬性為：系統(tǒng)、隱藏、存檔），會(huì)在被感染計(jì)算機(jī)系統(tǒng)的%SystemRoot%\system32\目錄下釋放惡意DLL組件文件“msosdohs00.dll”（文件大小為：13,873 字節(jié)，文件屬性為：系統(tǒng)、隱藏、存檔），會(huì)在被感染計(jì)算機(jī)系統(tǒng)的%SystemRoot%\system32\drivers\目錄下釋放惡意驅(qū)動(dòng)文件“msosmsfpfis64.sys”（文件大小為：2,560 字節(jié)，文件屬性為：系統(tǒng)、隱藏、存檔），還會(huì)在被感染計(jì)算機(jī)系統(tǒng)的%SystemRoot%\system32\目錄下創(chuàng)建一個(gè)配置文件“msosdohs.dat”。
  “驅(qū)動(dòng)殺手”變種a運(yùn)行時(shí)，會(huì)將惡意驅(qū)動(dòng)程序“msosmsfpfis64.sys”注冊(cè)為系統(tǒng)服務(wù)，用來(lái)還原系統(tǒng)“SSDT HOOK”，從而使部分安全軟件的保護(hù)功能失效，達(dá)到躲避安全軟件的防御和查殺的目的。會(huì)把惡意DLL組件程序“msosdohs00.dll”插入到所有用戶級(jí)權(quán)限的進(jìn)程中加載運(yùn)行，防止被用戶發(fā)現(xiàn)。會(huì)在被感染計(jì)算機(jī)系統(tǒng)的后臺(tái)利用HOOK和內(nèi)存截取等技術(shù)盜取用戶玩家網(wǎng)絡(luò)游戲“大話西游II”的登陸帳號(hào)、登陸密碼、倉(cāng)庫(kù)密碼、角色等級(jí)、金錢數(shù)量、所在區(qū)服、計(jì)算機(jī)名稱等信息資料。并且會(huì)在被感染計(jì)算機(jī)后臺(tái)將竊取到的這些信息資料發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點(diǎn)“http://www.775911.cn/xiaojie/xjdg886/2564326423657lin.asp”上。由于病毒發(fā)送密碼的服務(wù)器根目錄文件名為“xiaojie”（小杰），該病毒被懷疑系一名為“小杰”的駭客編寫(xiě)，因此該病毒也被稱為“殺手小杰”。
   江民反病毒專家提醒用戶，由于以上病毒均具有關(guān)閉殺毒軟件功能，因此電腦用戶務(wù)必選擇安裝一款自我保護(hù)能力強(qiáng)大的殺毒軟件保護(hù)電腦數(shù)據(jù)安全，務(wù)必及時(shí)更新殺毒軟件病毒庫(kù)，開(kāi)啟“主動(dòng)防御”“實(shí)時(shí)監(jiān)測(cè)”功能，以防御病毒于系統(tǒng)之外。