【赛迪网-IT技术报道】江民今日提醒您注意：在今天的病毒中Trojan/PSW.QQRobber.afi“QQ抢劫犯”变种afi和Trojan/Hijack.by“劫持犯”变种by值得关注。

病毒名称：Trojan/PSW.QQRobber.afi

中 文 名：“QQ抢劫犯”变种afi

病毒长度：21504字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.QQRobber.afi“QQ抢劫犯”变种afi是“QQ抢劫犯”木马家族的最新成员之一，采用Delphi语言编写，并经过添加保护壳处理。“QQ抢劫犯”变种afi运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“NTsys.exe”。修改注册表，实现木马开机自动运行。破坏数款防火墙程序，查找并强行关闭某些安全软件，还可能会通过修改系统时间使某些安全软件失效，极大地降低了被感染计算机系统的安全性。在被感染计算机的后台秘密监视用户的操作以及窗口标题，当用户登陆QQ或者申请QQ密码保护时，利用HOOK技术以及内存截取技术窃取用户输入的内容，盗取QQ密码，并将用户的账号、密码等机密信息发送到骇客指定的远程服务器中，给用户造成一定的损失。另外，“QQ抢劫犯”变种afi还具有自我删除的功能，以便消除痕迹。

病毒名称：Trojan/Hijack.by

中 文 名：“劫持犯”变种by

病毒长度：109568字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/Hijack.by“劫持犯”变种by是“劫持犯”木马家族的最新成员之一，采用VC++编写，并经过添加保护壳处理。“劫持犯”变种by运行后，在被感染计算机系统的“%SystemRoot%\system32\”目录下释放组件“MsWinBox.exe”。自我注册为系统服务，实现木马开机自动运行。在“%SystemRoot%\system32\drivers”目录下释放恶意驱动文件，覆盖系统文件“beep.sys”并加载运行。该驱动文件可还原系统“SSDT”，致使某些安全软件的防御和监控功能失效，从而达到躲避监控的目的。将恶意代码注入到“explorer.exe”进程中运行，隐藏自身，躲避安全软件的查杀。另外，“劫持犯”变种by还会与骇客指定的服务器建立网络连接，侦听骇客指令，骇客可通过“劫持犯”变种by远程控制被感染计算机系统，严重威胁用户计算机信息安全。

针对以上病毒，建议广大电脑用户：

1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。

2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。

3、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

4、江民杀毒软件的虚拟机脱壳技术，针对目前主流壳病毒进行虚拟脱壳处理，有效清除“壳病毒”。

(责任编辑：董建伟)