当心”QQ劫持者” “灰鸽子”病毒变种

以下是2008年5月13日的安天实验室在最新捕获的病毒样本中选取的病毒样本所做的日报内容 。有任何建议或意见请即时发送邮件：avengert@antiy.net，我们会尽快予以答复.
        ===========================================================================================================================================
        安天实验室每日病毒预警

一、“QQ劫持者变种btb”（ Trojan-PSW.Win32.QQPass.btb）  威胁级别：★★★★
     该病毒为QQ盗号木马类，病毒运行后调用API获取系统文件夹路径，查找%Program Files%\Internet Explorer\目录下是否存在病毒文件，如有则将其删除，并重新衍生2个生病毒文件到系统目录%Program Files%\Internet Explorer\下；重命名为Nt_Win32.Jmp与Nt_Sys32.Sys；修改注册表，添加HOOK项，将“NewSys55.Sys”注册为浏览器辅助对象
BHO，实现开机自动运行，病毒运行后自我删除，遍历进程查找QQ.exe如找到则将NewSys55.Sys病毒文件注入到Explorer.exe进程中，否则不注入，60秒后关闭QQ.exe进程，目的让用户从新登陆QQ以便记录帐号及密码信息，通过URL发送到木马种植者指定的接收网址。


二、“灰鸽子变种diq”（Trojan.Win32.Agent.diq）  威胁级别：★★★★★
   该病毒为“灰鸽子”后门病毒变种。病毒将释放DLL文件inudhya.dll到当前目录下，并将该病毒DLL文件注入到除少数几个无法注入（比如“smss.exe”）以外的所有进程，然后挂钩某些API，从而隐藏病毒文件，使用户无法使用常规的方式发现病毒，病毒运行后，创建注册表病毒服务，病毒使用了多种方式隐藏，普通用户难以发现并杀除，中了该病毒的用户会被远程控制，盗取个人私密资料信息等。


安天反病毒工程师建议
        1.最好安装安天防线2008防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
        2.安天反病毒应急中心及时进行了病毒库更新，升级安天防线2008到2008年5月13日的病毒库即可查杀以上病毒；如未安装安天防线2008，可以登录http://www.antiy.com免费下载最新版安天防线来防止病毒入侵。