江民2.23病毒播报：尖峰洞和诈骗器变种病毒

核心提示：江民今日提醒您注意：在今天的病毒中Packed.PePatch.oq“尖峰洞”变种oq和TrojanDownloader.FraudLoad.eb“诈骗器”变种eb值得关注，英文名称：Packed.PePatch.oq中文名称：“尖峰洞”变种oq病毒长度：39456字节病毒类型：木马危险级别：★★影响平台：Win 9X

江民今日提醒您注意：在今天的病毒中Packed.PePatch.oq“尖峰洞”变种oq和TrojanDownloader.FraudLoad.eb“诈骗器”变种eb值得关注。

英文名称：Packed.PePatch.oq
　　中文名称：“尖峰洞”变种oq
　　病毒长度：39456字节
　　病毒类型：木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：518d9653b480286aa8c093f1aed3abd4
　　特征描述：
　　Packed.PePatch.oq“尖峰洞”变种oq是“尖峰洞”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“尖峰洞”变种oq运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放一个经过加壳保护的恶意DLL组件。该组件会被插入到系统桌面程序“explorer.exe”等几乎所有用户级权限的进程中加载运行，并在后台执行恶意操作，隐藏自我，防止被查杀。“尖峰洞”变种oq是一个专门盗取即时聊天工具“腾讯QQ”账号和密码的木马程序，会在被感染计算机的后台查找系统中正在运行的所有进程，一旦发现“QQ.exe”进程便会迫使“QQ”用户掉线，使得“QQ”重新打开登陆窗口。此时，“尖峰洞”变种oq会将一个伪造的密码输入框覆盖在真正的密码输入框之上，然后通过鼠标控制、消息钩子等技术，将用户在伪造的输入框中所输入的密码窃取，并在后台将窃得的信息发送到骇客指定的远程服务器站点“http://18289.q**r.net/szqq/qq.asp”（地址加密存放）上，给用户造成了不同程度的虚拟财产损失。同时，“尖峰洞”变种oq还会在被感染计算机系统的后台连接骇客指定的远程站点“http://tj.77**.org”，读取配置文件，下载其中所列出的恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，致使用户面临不同程度的风险。另外，“尖峰洞”变种oq会在注册表“ShellExecuteHooks”项下添加键值，以此实现木马的开机自动运行。

英文名称：TrojanDownloader.FraudLoad.eb
　　中文名称：“诈骗器”变种eb
　　病毒长度：29696字节
　　病毒类型：木马下载器
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：2411258ffe3c7688e4f424f57f1ddfa1
　　特征描述：
　　TrojanDownloader.FraudLoad.eb“诈骗器”变种eb是“诈骗器”木马家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，并且经过加壳保护处理。“诈骗器”变种eb运行后，会在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\RemInst”目录下分别释放DLL组件“Ntsvc.ocx”和木马程序“smss.exe”，并设置文件属性为“系统、隐藏”。“诈骗器”变种eb运行时，会先关闭“Windows系统防火墙服务”（Sharedaccess），然后在被感染计算机系统的后台连接骇客指定的远程FTP服务器站点“ftp://supertel.vi**.cc”，下载该FTP目录下的所有恶意程序并自动调用运行。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或恶意广告程序（流氓软件）等，可能会给被感染计算机用户造成不同程度的损失。“诈骗器”变种eb还具有自动更新的功能，会根据骇客指定服务器站点“http://smb.hom**z.cn/world/”的信息来决定自身是否需要进行更新。同时，“诈骗器”变种eb在运行结束后会通过调用批处理文件的方式来将自身删除，从而达到消除痕迹的目的。另外，“诈骗器”变种eb会在被感染计算机中注册系统服务，以此实现木马的开机自启。