新华网北京5月26日电(记者顾洪洪)
如果收到这样的QQ信息:“掉线了?wsdgs”,然后系统无故重启,那么这个跟你聊天的“好友”就是一个恶意攻击者,你的系统已经被“QQ叛徒”病毒所感染。5月25日,瑞星全球反病毒监测网率先截获一个可利用QQ控制的木马,并将其命名为“QQ叛徒”(Trojan.QQbot.a)病毒。
据瑞星反病毒部门负责人蔡骏介绍,这是全球首个可以通过QQ控制系统的木马,感染该病毒之后,表面上看不出系统有任何异常,这些病毒QQ信息中大部分含有“wsdgs ”特殊字符,该病毒会造成强制系统重启、被迫下载病毒文件、抓取当前系统屏幕等等危害。
蔡骏介绍说,当QQ好友向你发送“你好啊!wsdgs@@1234567&&(@@之后的字符可变)”时,病毒就会共享系统的C盘;而“死机了?wsdgs”则会让系统关机,“掉线了?wsdgs”则会让系统重启,“冷语打芭蕉”会让你的QQ关闭。通过发送不同的QQ消息,攻击者可以进行多种非常危险的攻击性操作。
据分析,这个病毒的远程控制思路非常简单:病毒会随时检测QQ接收到的消息,当出现特殊的字符时,则进行相应的操作。传统的木马病毒要进行控制必须开辟新的端口,被发现的可能性很大;而“QQ叛徒”这样的控制方式在防火墙看来是合法的,可以使大多数防火墙失效,相对来说就更危险。
蔡骏提醒广大用户,在使用QQ时,如收到含有“wsdgs”字样的信息,表明你已经中毒,此时应该立刻进行杀毒工作。为了防止系统被感染,广大用户应在第一时间升级杀毒软件。(完)
另外萧某在这里补充两句,大家一定要注意安全,将自己的系统打上补丁,这样可以最大限度的降低自己机器中毒的几率,
另外如果中毒后手头的杀毒软件又无效的话,可以下载专杀软件,连接地址如下:
http://it.rising.com.cn/service/technology/RS_QQMsender.htm
目前还不太了解病毒感染的途径,大家先还是象防普通qq病毒一样尽量不要乱点别人发来的异常连接,以免中毒。如果有人给你发了下述消息后产生了相应后果(比如关机什么的),则必是中毒,赶紧查杀。懂注册表的人也可以通过查看自己的启动项来确认。
简介:该病毒使用delphi编写,采用ASpack压缩,是一个通过监视QQ的消息来进行远程控制的木马。
一、病毒评估
1.病毒中文名: QQ叛徒
2.病毒英文名:Trojan.QQbot.a
3.病毒别名: 无
4.病毒大小:659456字节
5.病毒类型:木马
6.病毒危险等级:★★★★
7.病毒传播途径:网络
8.病毒依赖系统:Windows 95 Windows 98 Windows ME Windows 2000 Windows XP
二、病毒技术细节:
该病毒使用delphi编写,采用ASpack压缩,是一个通过监视QQ的消息来进行远程控制的木马。一旦运行,病毒将执行下列操作:
1.病毒将修改注册表,添加"registry" = "%CURBASE%\%CURFILE"到键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run下,这样病毒就可以随系统自启动。
2.病毒通过监视QQ的接收消息来响应远程控制端的操作:
病毒可以执行的操作包括:上传、下载、执行文件,共享硬盘,关闭、重启计算机,抓屏并发送EMail,通过进程名或ID来终止进程的运行,关闭、卸载木马等。
3.病毒的远程控制端通过生成相应的QQ消息来控制其服务端,发送的消息跟病毒进行的操作对应如下:
"去看看!wsdgs!!@@iXT 3;lGim OKdrk uLL&&ldUimlw$$"->此发送的消息为下载木马网址;(@@后面是随机字符)
"我看看!wsdgs@@0/$s^t&&"->此消息为从染毒机器中下载文件;
"你好啊!wsdgs@@1234567&&"->此消息为共享C盘;
"去试试!wsdgs@@iXT 3;lGim OKdrk uLL&&"->此消息执行文件;
"死机了?wsdgs"->关机;
"掉线了?wsdgs"->重启;
"在干嘛?wsdgs!!"->抓屏并Mail;
"还在啊?wsdgs!!"->列举进程并Mail;
"怎么了?wsdgs@@1234&&"->关闭进程;
"冷雨打芭蕉"->关闭对方QQ;
"江湖一剑飘"->关闭木马;
"天涯任逍遥"->卸载木马;
