金山3.31病毒播报:传奇攻防盗号破坏杀软主动防御

关键词： 金山 金山毒霸 病毒播报 每日病毒播报 病毒日报 盗号木马 QQ盗号者AUTO版 传奇攻防盗号者 木马病毒

　　“QQ盗号者AUTO版110713”（Win32.Troj.QQPass.ag.110713），这是一个盗号木马程序。它会盗取QQ即时聊天工具的帐号和密码。为扩大传染范围，它还会在各磁盘分区中生成AUTO病毒。

　　“传奇攻防盗号者90112”（Win32.PSWTroj.OnlineGames.tt.90112），这是一个针对《传奇》的盗号木马。它通过释放的驱动程序破坏反病毒软件的主动防御，关闭反病毒软件程序的进程。然后盗取游戏帐号和密码，并把盗取到的信息发送到指定的网站。

　　一、“QQ盗号者AUTO版110713”（Win32.Troj.QQPass.ag.110713） 威胁级别：★

　　近日利用AUTO技术进行传播的盗号木马数量突然增多，根据对这些木马分析的结果，毒霸反病毒工程师们认为，部分病毒作者实现了AUTO技术共享，是造成这一现象的原因之一。以下这个病毒，就是若干近日分析的AUTO木马中的一个，它所针对的是QQ聊天工具。

　　病毒通过被感染的移动存储器、网页挂马等方式进入用户电脑，在系统盘的%programfiles%Internet ExplorerPLUGINS目录，也就是IE浏览器的目录中，释放出病毒文件NinSys74.Sys和NysWin75.Jmp，并将后者相关数据写入系统注册表，实现开机自启动。接着，病毒注入到桌面进程Explorer.exe中，监视系统中是否有QQ进程。如果有则注入其中，盗取用户账号密码等信息，发送到病毒作者指定的邮箱http://c*r.m**d3*5.net/qqqq.asp。

　　按照病毒黑色产业链的流程，被偷走的QQ号，其中比较吉利的号码会被卖给其他QQ用户，剩下的则用于传播挂马网页、含毒文件、垃圾广告等。因此广大用户在使用QQ等即时聊天工具时，一定要申请号码保护，如发现被盗，应尽快通知好友注意和向运营商投诉，以尽可能减少和挽回损失。

　　应该说该病毒的盗号技术并不复杂，属于很“初级”的盗号木马，之所以危害性较大，是因为采用AUTO方式传播。它在全部的磁盘分区中生成AUTO病毒文件Autorun.exe和Autorun.inf，只要用户在中毒电脑上使用U盘等移动存储设备，病毒就会被激活，从而传染到移动设备上，自动地扩大传染范围。对付这类木马，最好利用清理专家中关闭系统各驱动器的自动运行功能。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-troj-qqpass-ag-110713-50498.html

　　二、“传奇攻防盗号者90112”（Win32.PSWTroj.OnlineGames.tt.90112） 威胁级别：★★

　　拥有大量玩家的网游一直是病毒作者眼中的肥肉，随着AV终结者、机器狗、磁碟机的诞生，对抗杀软技术开始在病毒作者中推广开来，盗号木马的威力也有所增大。在昨日毒霸反病毒工程师们分析的病毒中，就有这样一个针对网络游戏《传奇》的盗号木马。

　　该病毒对抗杀软的方法是破坏杀软的主动防御。它进入电脑系统后，会释放出两个病毒文件，分别为%WINDOWS%system32目录下的msoscqit00.dll，以及%WINDOWS%system32drivers目录下的msosfpids32.sys。其中后者就是用于对抗杀软的驱动文件，病毒会将它的数据写入系统注册表，实现自我隐藏，让用户难以发现它。同时，该文件会恢复SSDT表，解除杀毒软件的主动防御功能，这一动作十分关键，一旦成功，用户电脑中依靠主动防御来进行保护的杀毒软件，将变得一无是处。

　　至于msoscqit00.dll，它在病毒随机启动后，会先注入系统桌面进程，然后在其中轮番注入所有进程进行搜索。如果宿主进程是安全软件的进程，就将其关闭。由于病毒的黑名单较为庞大，许多知名的安全软件都会“中招”。而如果发现注入的是《传奇》游戏的进程，就读写该进程的内存数据，盗取游戏帐号，并将结果发送到指定网站。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-pswtroj-onlinegames-tt-90112-50499.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年3月31的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。