在过去的两天中，金山毒霸在国内率先截获了“QQ密探”连续发布的A、B两个变种。该病毒采用了QQ病毒感染及运行的新方法，给广大的QQ用户带来了前所未有的安全隐患。金山毒霸全面出击，在短时间了完成了对该病毒的查杀升级。以下是金山毒霸对该病毒两个变种的分析报告：

　　病毒信息㈠：

注册财富会员人人得奖 E歌时代来临了！ 新浪招商引资征代理商 上网实用手册

　　病毒名称: Win32.Troj.QQNark.a

　　中文名称: “QQ密探”变种A

　　威胁级别: 3C

　　发现日期: 2004.05.24

　　处理日期: 2004.05.24

　　病毒类型: 木马

　　受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

　　破坏方式：

　　病毒通过监视QQ的接收消息来响应远程控制端的操作：

　　病毒可以执行的操作包括：上传、下载、执行文件，共享硬盘，关闭、重启计算机，抓屏并发送

　　EMail，通过进程名或ID来终止进程的运行，关闭、卸载木马等。

　　发作现象: 利用QQ,通过网络传播

　　技术特点：（点击查看详情）

　　A、病毒将修改注册表，添加registry=%<病毒第一次运行路径>%\<病毒第一次运行文件名>到键值：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run下，这样病毒就可以随系统自启动。

　　B、病毒的远程控制端通过生成相应的QQ消息来控制其服务端，发送的消息跟病毒进行的操作对应如下：

　　去看看！ 3;lGimOKdrkuLL&&ldUimlw$$->此发送的消息为下载木马网址；（@@后面是随机字符）

　　我看看！&&->此消息为从染毒机器中下载文件；

　　你好啊！&&->此消息为共享C盘；

　　去试试！ 3;lGim OKdrk uLL&&->此消息执行文件；

　　死机了？wsdgs->关机；

　　掉线了？wsdgs->重启；

　　在干嘛？wsdgs!!->抓屏并Mail；

　　还在啊？wsdgs!!->列举进程并Mail；

　　怎么了？&&->关闭进程；

　　冷雨打芭蕉->关闭对方QQ；

　　江湖一剑飘->关闭木马；

　　天涯任逍遥->卸载木马

　　病毒信息㈡：

　　病毒名称: Win32.Troj.QQNark.b

　　中文名称: “QQ密探”变种B

　　威胁级别: 3C

　　发现日期: 2004.05.24

　　处理日期: 2004.05.24

　　病毒类型: 木马

　　受影响系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

　　破坏方式：

　　病毒通过监视QQ的接收消息来响应远程控制端的操作：

　　病毒可以执行的操作包括：上传、下载、执行文件，共享硬盘，关闭、重启计算机，抓屏并发送

　　EMail，通过进程名或ID来终止进程的运行，关闭、卸载木马等。

　　发作现象: 利用QQ,通过网络传播

　　技术特点：

　　变种A在变种B的基础上作了如下修改：

　　改进了它的发邮件功能，解决了发送邮件失败的问题，增强了窃密能力，需要更加注意防范。

　　解决方案:

　　· 请使用金山毒霸2004年05月26日的病毒库可完全处理该病毒；

　　· 请不要轻易运行QQ上发送过来的具有诱惑性名称的不明文件，请先升级毒霸至最新病毒库，

　　对收到的文件进行查毒操作，确保无毒后再运行；

　　· 如果发现自己中了病毒，请升级毒霸到最新病毒库，也可以到毒霸或腾讯的网站上下载最新的

　　QQ专杀，进行全盘查杀，彻底清除该病毒。