一種偽裝成即時通訊工具「百度HI」的病毒

江民反病毒中心發佈病毒警報，一種偽裝成百度即時通訊工具「百度HI」的病毒正在通過網絡加速傳播，該病毒最早在上週五（2月29日）被首次截獲。病毒傳播者利用近期倍受關注的百度即將推出即時通訊工具「百度HI」的熱點新聞，在各大論壇以及貼吧裡發佈下載鏈接，假冒「百度HI」即時通訊軟體誘使用戶下載。

江民反病毒專家介紹，該病毒是一個遠程控制後門程序，和「灰鴿子」的功能十分相似。中毒後電腦會變成網絡殭屍，駭客可以遠程任意控制被感染的計算機，還可以竊取用戶計算機裡所有的機密信息資料。

病毒運行後，在「C:/WINDOWS」目錄下生成病毒文件nod32.exe，文件屬性設置為：只讀、系統隱藏、存檔。病毒在後台調用系統「C:/windows/system32/svchost.exe」進程，把惡意可執行代碼都注入到該進程中，然後調用執行。病毒通過此舉隱藏自身，使普通用戶很難發覺。病毒還會使用剛剛調用起來的系統「svchost.exe」進程把病毒程序「C:/WINDOWS/nod32.exe」文件以獨佔的方式打開，在不關閉「svchost.exe」進程的情況下，用戶根本無法手工刪除病毒主程序。

讓江民反病毒專家疑惑的是，假「百度HI」病毒在記憶體放一些IP地址資料，分析顯示該IP地址來自美國，但無從知曉該IP地址的具體用途。

分析還顯示，病毒運行後通過一個位於廣東省東莞市的IP地址實現通訊，通訊端口為OICQ Server[8000]，病毒運行後，會將自身安裝程序刪除，這樣除了注入到svchost.exe內的可執行代碼之外，系統內沒有任何該病毒的文件。

針對該病毒，江民殺毒軟體KV2008已即時升級，用戶只需正常升級最新病毒庫，即可有效防殺該病毒。沒有安裝江民殺毒軟體的用戶，可以下載安裝江民假「百度HI」病毒專殺工具，免費對電腦進行全面查殺，專殺下載地址：http://download.jiangmin.info/jmsoft/FakeBaiduHiKiller.exe

（