提醒謹防“QQ搶劫犯”和“殺手小杰”

gao0907

提醒謹防“QQ搶劫犯”和“殺手小杰”
   5月21日，江民反病毒中心提醒用戶謹防“QQ搶劫犯”變種adw和“殺手小杰”病毒。“QQ搶劫犯”能夠竊取用戶QQ密碼，“殺手小杰”能夠盜取用戶玩家網(wǎng)絡(luò)游戲“大話西游II”的登陸帳號、登陸密碼、倉庫密碼、角色等級、金錢數(shù)量、所在區(qū)服、計算機名稱等信息資料。
   江民反病毒專家介紹，“QQ搶劫犯”變種adw（Trojan/PSW.QQRobber.adw）是“QQ搶劫犯”木馬家族的最新成員之一，采用DELPHI語言編寫，并經(jīng)過添加保護殼處理。“QQ搶劫犯”變種adw運行后，復(fù)制自身到被感染計算機系統(tǒng)“啟動”目錄下，重命名為“系統(tǒng)補丁*.exe”（其中*號代表計算機名），并在“Program Files\Common Files\Microsoft Shared\MSInfo\”目錄下釋放病毒組件“atmQQ2.dll”，通過修改注冊表實現(xiàn)木馬開機自啟動。將病毒組件“atmQQ2.dll”插入到所有用戶進程中運行。查找并結(jié)束某些安全軟件，并通過修改系統(tǒng)時間使某款安全軟件失效。“QQ搶劫犯”變種adw嘗試刪除“QQDoctor.exe”文件，防止QQ登陸前查殺木馬。在后臺秘密監(jiān)視用戶的操作，當用戶登陸QQ時利用HOOK技術(shù)記錄用戶的鍵盤操作，盜取QQ密碼，并將用戶的賬號密碼等機密信息發(fā)送到駭客指定的遠程服務(wù)器中，給用戶造成一定的損失。
  “驅(qū)動殺手”變種a（TrojanDropper.Driver.a）也叫“殺手小杰”，是木馬家族的最新成員之一，采用VC++ 6.0編寫，并經(jīng)過加殼處理。“驅(qū)動殺手”變種a運行后，會先在被感染計算機的后臺替換系統(tǒng)%SystemRoot%\system32\drivers\目錄下的驅(qū)動文件“beep.sys”（替換后的惡意驅(qū)動程序文件大小為：2,560 字節(jié)），接著將該惡意驅(qū)動程序注冊為系統(tǒng)服務(wù)，用來還原系統(tǒng)“SSDT HOOK”，從而使部分安全軟件的保護功能失效，達到躲避安全軟件的防御和查殺的目的。最后將該惡意驅(qū)動程序文件刪除，并在被感染計算機系統(tǒng)的%SystemRoot%\system32\dllcache\目錄下拷貝一個正常的原系統(tǒng)驅(qū)動文件“beep.sys”來覆蓋還原恢復(fù)被病毒替換的系統(tǒng)驅(qū)動文件。
   病毒會在被感染計算機系統(tǒng)的臨時文件夾下釋放惡意DLL組件文件“tmp1.tmp”（文件大小為：13,873 字節(jié)，文件屬性為：系統(tǒng)、隱藏、存檔），會在被感染計算機系統(tǒng)的%SystemRoot%\system32\目錄下釋放惡意DLL組件文件“msosdohs00.dll”（文件大小為：13,873 字節(jié)，文件屬性為：系統(tǒng)、隱藏、存檔），會在被感染計算機系統(tǒng)的%SystemRoot%\system32\drivers\目錄下釋放惡意驅(qū)動文件“msosmsfpfis64.sys”（文件大小為：2,560 字節(jié)，文件屬性為：系統(tǒng)、隱藏、存檔），還會在被感染計算機系統(tǒng)的%SystemRoot%\system32\目錄下創(chuàng)建一個配置文件“msosdohs.dat”。
  “驅(qū)動殺手”變種a運行時，會將惡意驅(qū)動程序“msosmsfpfis64.sys”注冊為系統(tǒng)服務(wù)，用來還原系統(tǒng)“SSDT HOOK”，從而使部分安全軟件的保護功能失效，達到躲避安全軟件的防御和查殺的目的。會把惡意DLL組件程序“msosdohs00.dll”插入到所有用戶級權(quán)限的進程中加載運行，防止被用戶發(fā)現(xiàn)。會在被感染計算機系統(tǒng)的后臺利用HOOK和內(nèi)存截取等技術(shù)盜取用戶玩家網(wǎng)絡(luò)游戲“大話西游II”的登陸帳號、登陸密碼、倉庫密碼、角色等級、金錢數(shù)量、所在區(qū)服、計算機名稱等信息資料。并且會在被感染計算機后臺將竊取到的這些信息資料發(fā)送到駭客指定的遠程服務(wù)器站點“http://www.775911.cn/xiaojie/xjdg886/2564326423657lin.asp”上。由于病毒發(fā)送密碼的服務(wù)器根目錄文件名為“xiaojie”（小杰），該病毒被懷疑系一名為“小杰”的駭客編寫，因此該病毒也被稱為“殺手小杰”。
   江民反病毒專家提醒用戶，由于以上病毒均具有關(guān)閉殺毒軟件功能，因此電腦用戶務(wù)必選擇安裝一款自我保護能力強大的殺毒軟件保護電腦數(shù)據(jù)安全，務(wù)必及時更新殺毒軟件病毒庫，開啟“主動防御”“實時監(jiān)測”功能，以防御病毒于系統(tǒng)之外。