本周关注病毒：“QQ艳照门病毒”诱骗点击、劫持杀软

　　一、“QQ艳照门病毒”（Win32.Troj.Downloader.mu.109568） 威胁级别：★★

　　4月24日，香港地方法院再次开庭审理艺人不雅照片案，而就在这一天，网上传出“奇拿”复出，公布新照片的消息。一时间，网上议论声四起，怀着各种目的索求新照片的网民也再次增多。一些病毒作者盯上了这个机会，伺机传播病毒。本次预警中的病毒，便是一个利用艳照传播的木马下载器。毒霸反病毒工程师根据近日统计到的相关数据做出推测：在本周末以及五一小长假期间，由于上网人数会增加，该病毒的传播趋势会有所加强，因此发出预警，提醒大家注意系统安全。

　　这个病毒会利用网页挂马和QQ聊天工具进行传播。一些“求图心切”的网民，在网上看到艳照链接就会“本能”地去点击，这样一来，便感染上了病毒。如果用户电脑上安装得有QQ即时聊天工具，病毒会利用它，更高效地传播自己。它读取用户当前的聊天窗口，向好友发送含一个名为“陈冠希原版相片.rar”压缩包，骗取好友接收。为避免该压缩包被发送到QQ邮箱中，当QQ弹出询问“是否通过QQ邮箱发送”时，病毒会模拟用户的鼠标操作，点击“否”按钮。

　　压缩包里的病毒是无法自动运行起来的，它需要用户解压后才能自由行动，如果解压成功，病毒就会自动调用IE浏览器，弹出一个名为http://www.b***uoo.com的网站。该网站会将用户引导到雅虎网。注意，这个动作是病毒使的障眼法，它这样做是为了让用户们以为接收到的是个普通的刷流量软件，一删了之，而不会去想是否有别的古怪。而实际上，病毒已成功潜入电脑系统了。

　　无论是利用哪种方法，病毒进入用户系统后，会立即利用通过镜像劫持，把麦咖啡、Network Associates、赛门铁克、江民、QQ医生、瑞星、360安全卫士木马克星、超级巡警、木马杀客等众多厂家的安全软件产品弄瘫痪，把它们变成自己的傀儡。它还会修改系统时间为2002年，令卡巴斯基等依赖系统时间进行激活和升级的安全软件失效。病毒也会对毒霸下手，不过经测试，它无法结束毒霸的进程。

　　为防止用户手动查杀，它还会修改注册表，导致不能进入安全模式，以及无法显示隐藏文件。

　　随后，病毒将自身文件wuauc1t.exe拷贝到“C:\WINDOWS\system32\目录”，并将属性改为系统隐藏。同时，它在各磁盘分区下建立AUTO病毒文件explorer.pif和autorun.inf来实现自启动，如果成功启动，就会立即连接病毒作者指定的远程服务器http://www.b***uoo.com/，疯狂下载40多个病毒文件到用户电脑中运行。而这些病毒基本上都是盗窃网游帐号、网银密码、用户个人隐私等敏感数据的木马程序。而由于释放出了AUTO文件，用户只要在中毒电脑上使用U盘等移动存储设备，病毒就会自动传染上去，扩大传播范围。

　　毒霸可以查杀该病毒，如果有用户习惯手动查杀，可以参考以下建议：

　　关闭IEXPLORE.EXE、wuauc1t.exe、explorer.pif

　　修复镜项劫持、安全模式、和隐藏文件选项

　　删除%windir%system32\wuauc1t.exe 、%TempPath%\陈冠希原版相片.rar、c:\sys.pif 、c:\1~40.pif %windir%\system32\syurl.dll ，以及各驱动器下的explorer.pif 和autorun.inf.

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-downloader-mu-109568-50565.html

　　此外值得关注病毒

　　一、“AV终结者变种106496”（Win32.Troj.AVKiller.ex.106496） 威胁级别：★★

　　AV终结者又一次成为了毒霸反病毒工程师们注意的目标。在近日统计的病毒传播趋势资料中，AV终结者的这个变种显得十分活跃，这也许与有人故意进行传播有关。

　　该病毒进入系统后执行的操作，与以前的版本基本无异，都是先释放出病毒文件，然后修改系统注册表实现自动启动，并紧接着执行映象劫持，将用户系统中安装的安全软件弄瘫痪，以便于病毒以后的破坏操作。病毒释放出的文件wuauc1t.exe和sssurl.dll会被伪装成系统文件，隐藏在%WINDOWS%根目录下。

　　为防止用户进行手动查杀，病毒修改注册表中的相关数据，使中毒电脑无法显示隐藏的文件和系统文件，这样一来，当病毒把自己伪装成系统文件并设置隐藏模式后，用户就无法找到它们。同时，病毒还会禁止用户进入安全模式和打开注册表编辑器，以便长久地在电脑中驻留下去。并且，病毒会在每一个磁盘分区的根目录下生成一个explorer.exe文件和AUTORUN.INF文件，当用户在中毒电脑上使用U盘等移动存储设备时，病毒就会趁机将其感染。

　　最后，病注入系统桌面进程和其它非系统进程中，隐蔽地运行自己，从病毒作者指定的地址下载大量盗号木马，将用户系统中有价值的信息盗窃一空，引发无法估计的损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-avkiller-ex-106496-50559.html

　　二、“鼠标窥视器110145”（Win32.PSWTroj.OnLineGames.xh.110145） 威胁级别：★★

　　这个病毒是一个盗号木马，它并没有特定的作案对象，而是对用户输入的所有数据下手。该病毒在进入系统、完成文件释放后，立即修改系统的SSDT(系统服务调度表)，从而解除具有主动防御功能的杀毒软件的武装，然后将病毒文件注入到系统桌面进程中，监视用户的鼠标、键盘操作，从而获得用户的游戏帐号和密码信息。

　　成功获取信息之后，病毒便将信息加密，以邮件的形式，通过SMTP（一种为提高电脑用户的通讯效率而设置的免验证通讯方式），以及网页收信空间的方式发送给木马作者。木马作者一旦获得这些数据，他只需经过简单的计算，便可从中筛选出有价值的信息，从而给用户带来虚拟财产、商业机密的损失，甚至个人隐私的泄露。

　　习惯手动查杀病毒的用户，请注意%WINDOWS%\system32\目录下的tavo.exe和tavo0.dll，以及系统临时目录中的v9kctbg9.dll，它们就是病毒释放出的文件。这三个文件各有分工，必须将它们完全清除才能恢复系统正常。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-pswtroj-onlinegames-xh-110145-50544.html

　　金山毒霸反病毒工程师建议:

　　1.请及时更新您的杀毒软件，网络版可以通过控制台执行全网升级。

　　2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。

　　3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年5月4日的病毒库即可查以上病毒；如未安装金山毒霸，可以登录http://www.duab.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82325525反病毒专家将为您提供帮助。