本周安全預警:後"艷照"病毒借QQ"色誘"網民

【賽迪網-IT技術報道】4月28日，金山毒霸全球反病毒監測中心發佈周（4.28-5.4）病毒預警，近日網上盛傳艷照發佈者復出，再啟「艷照門」，一些病毒作者盯上了此機會，伺機傳播病毒。一個名為「QQ艷照門」木馬下載器在本周及五一小長假期間傳播趨勢會有所加強，該病毒通過給QQ好友發送名為「陳冠希原版相片」的rar格式壓縮文件來進行傳播，一旦進入用戶系統，就會劫持安全軟體，並在各驅動器下建立AUTO文件來自啟動。然後下載40多種木馬程序到用戶電腦中運行，造成無法預計的損失。

金山毒霸反病毒專家李鐵軍表示，該病毒利用網頁掛馬和QQ聊天工具進行傳播，一些「求圖心切」的網民，在網上看到艷照鏈接就會「本能」地去點擊，這樣一來，便感染上了病毒。病毒利用QQ即時聊天工具高效地傳播自己，它讀取用戶當前的聊天窗口，向好友發送含一個名為「陳冠希原版相片.rar」壓縮包，騙取好友接收。為避免該壓縮包被發送到QQ郵箱中，當QQ彈出詢問「是否通過QQ郵箱發送」時，病毒會模擬用戶的鼠標操作，點擊「否」按鈕。用戶解壓後，病毒便成功潛入電腦系統 。

李鐵軍分析指出，病毒運行後，立即劫持諸多安全軟體產品，修改註冊表，導致不能進入安全模式以及無法顯示隱藏文件。隨後，病毒將自身文件wuauc1t.exe拷貝到「C:/WINDOWS/system32/目錄」，並將屬性改為系統隱藏。同時，它在各硬碟分區下建立AUTO病毒文件explorer.pif和autorun.inf來實現自啟動，如果成功啟動，就會立即連接病毒作者指定的遠程伺服器http://www.b***uoo.com/，瘋狂下載40多個病毒文件到用戶電腦中運行。而這些病毒基本上都是盜竊網游帳號、網銀密碼、用戶個人隱私等敏感資料的木馬程序。而且由於釋放出了AUTO文件，用戶只要在中毒電腦上使用USB隨身碟等移動儲存設備，病毒就會自動傳染上去，擴大傳播範圍。

據瞭解，本周內廣大電腦用戶除了需要警惕「QQ艷照門病毒」之外，還需要特別警惕「AV終結者變種106496」（Win32.Troj.AVKiller.ex.106496）與「鼠標窺視器110145」（Win32.PSWTroj.OnLineGames.xh.110145）兩大病毒。前者是一個AV終結者的最新變種，它會劫持大部分安全軟體，破壞安全模式，還會釋放出傳染性極高的Auto病毒，藉以擴大自己的傳播範圍，隱蔽運行後，從病毒作者指定的地址下載大量盜號木馬，將用戶系統中有價值的信息盜竊一空，引發無法估計的損失；後者是一個盜號木馬，木馬運行後監視用戶的鼠標鍵盤操作，從而獲得用戶的遊戲帳號和密碼信息，木馬作者一旦獲得這些資料，他只需經過簡單的計算，便可從中篩選出有價值的信息，從而給用戶帶來虛擬財產、商業機密的損失，甚至個人隱私的洩露。

(