Virus 版 (精华区)

发信人: zyw (秋风), 信区: Virus
标  题: 金山反病毒气象（2003年9月22日至9月28日）
发信站: 哈工大紫丁香 (2003年09月19日08:48:12 星期五), 站内信件

:金山反病毒气象（2003年9月22日至9月28日） 
http://www.duba.net 　(2003-09-18 16:44)　　文章来源：金山毒霸安全资讯网 
  
　　金山反病毒应急中心本周进行升级包的更新，请用户尽快到金山毒霸网站 
duba.net 下载升级包，以下是几个重要病毒的简介：

　　本周重点关注病毒：

　　恶意木马：“狩猎者”新变种(Troj.qqmsghao114 Troj.PopWeb) ★★★ 传播
方式：利用IE漏洞自动下载安装

　　利用QQ自动发送消息，骗取QQ上的网友点击消息中的网址。拥有该网址的网页
内嵌该木马。当没有打上IE的IFrame漏洞补丁的系统就会自动下载该木马并立即运
行。此次变种可能有自动更新的功能，并会下载另一个木马“Troj.PopWeb”。木马
“Troj.PopWeb”会随机打开程序设定的网址，通常，都是一些网站的广告网址，
其中会包含色情、违禁网站的广告。两种木马的同时工作，严重骚扰正常的网络使
用，而且会大量浪费系统和网络资源。“狩猎者”最新变种的改进，更说明了其潜
在的危险性，试想，如果被自动下载的木马是一个网游帐号盗取木马，那么使用该
系统的人就会造受经济损失了，所以查杀和防止此类病毒是迫在眉捷了。该木马安
装到系统后的特点：

　1. Troj.QQmsghao114木马会修改IE的默认主页为 http://ww.hao114.com/home.htm ，
并在用户准备发送的QQ消息时, 自动将其网站的链接( hao114.com )加到消息中发
送出去,Troj.PopWeb木马会定时弹出一些网页。

　2. Troj.QQmsghao114木马自我复制到系统目录，文件名为HEIBAI.exe。Troj.PopWeb
木马会被下载或是自我复制到系统目录，文件名为QUpdate.exe,该木马会在Win.ini中
加两个节：AutoTime和NextOpen，这两个节会指定其弹出网页的时间。

　　 3.添加注册表的健值:

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　中添加如下键值:

　　"HEIBAI.exe"="%system%\HEIBAI.exe" （Troj.QQmsghao114添加）

　　"load"="%system%\QUpdate.exe" （Troj.PopWeb.b添加）

　　 手工清除方法：对于该木马最好的防御方法是打上IE的IFrame漏洞补丁，请使用

　　Windows 自带的“Windows Update”程序进行更新，建议升级IE浏览器的版本
到6.0。如果不幸感染了该木马，请使用进程管理器结束名为“HEIBAI.exe QUpdate”
的进程，并到系统目录下搜索和删除这此文件。最后，删除注册表中的以下键值：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　"HEIBAI.exe"="%system%\HEIBAI.exe" 

　　"load"="%system%\QUpdate.exe" 

　　 注意：这类木马出自各个不良网站之手，会出现大量的变种，变化基本以进程名
不同、文件名不同、注册表键值不同、打开的网址不同。所以，应该多留意那些名字
奇怪的进程和[未结束] 

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 210.46.72.9]