QQ高级警报：“QQ之盗”病毒疯狂盗号

作者：中关村在线 张齐

    "QQ之盗139373"(Win32.Troj.AmorBc.c.139373)这是一个QQ盗号木马。病毒运行后会释放病毒文件至程序文件夹，并利用ShellExecuteHooks以自启动。通过注入进程，监控用户使用的QQ聊天工具，并通过读取QQ目录下的LoginUinList.dat获取用户号码列表，和删除QQ目录下的ewh.db，诱使用户重新输入密码等方式盗取用户的QQ号码和密码等信息。另外，病毒还会从远程服务器下载病毒文件安装至用户计算机和删除QQ医生主执行文件。

    "梦幻之盗dp"(Win32.Troj.OnlineGames.dp.81920)这是一个盗号木马,病毒会在客户计算机上生成多个病毒相关文件,并通过创建注册表以达到病毒开机能自启动.病毒会修改注册表使客户计算器机上的系统防火墙和系统自动更新功能失效.盗取客户计算机上的网络游戏《梦幻西游》的帐号信息.
 
    一、"QQ之盗139373"(Win32.Troj.AmorBc.c.139373)  

    威胁级别：★

    1.生成文件
%programfiles%\Common Files\Microsoft Shared\MSInfo\SysWFGQQ2.dll

    2.注入进程，监控QQ用户登陆窗口和以下网址，盗取用户QQ号码和密码等信息，发送至远程邮箱
http://***p.qq.com/clienturl_239?ADUIN=0&ADSESSION=0&ADTAG=CLIENT.QQ.1631_LoginWindow.0
https://ac***nt.qq.com/cgi-bin/auth_forget?forgetType=PW&PcacheTime=1179536999

    3.病毒会读取QQ目录下的LoginUinList.dat获取用户号码列表

    4.从远程服务器下载病毒文件安装至用户计算机
hxxp://hm.5460w.cn/kav.exe

    5.该病毒留下以下恶意信息
"ymygc....."
"cc"
"cckabalaji"
"bc"
"fuckavp"
"别杀我啊"

    二、"梦幻之盗dp"(Win32.Troj.OnlineGames.dp.81920)  

    威胁级别：★

    1.病毒把自身复制至
  %windir%\system32\kvmxdis.exe
 并生成以下文件:
  %windir%\system32\kvmxacf.dll
  %windir%\system32\kvmxdma.dll
  %windir%\fonts\armease.fon

    2.病毒修改注册表禁用系统防火墙和系统自动更新.
 
    金山反病毒工程师建议
 
    1.最好安装专业的

杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。
    2.玩网络游戏、利用QQ聊天的用户会有所增多，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。