江民5.5病毒播报：土匪和QQ诈骗犯变种

核心提示：江民今日提醒您注意：在今天的病毒中Win32/Tufik.b“土匪”变种b和Trojan/QQFishing.fx“QQ诈骗犯”变种fx值得关注，英文名称：Win32/Tufik.b中文名称：“土匪”变种b病毒长度：8256字节病毒类型：Windows病毒危险级别：★★影响平台：Win 9X/ME/NT/2000/XP

江民今日提醒您注意：在今天的病毒中Win32/Tufik.b“土匪”变种b和Trojan/QQFishing.fx“QQ诈骗犯”变种fx值得关注。

英文名称：Win32/Tufik.b
　　中文名称：“土匪”变种b
　　病毒长度：8256字节
　　病毒类型：Windows病毒
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：9f6dd83b4f71eca508058da17dd21609
　　特征描述：
　　Win32/Tufik.b“土匪”变种b是“土匪”Windows病毒家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“土匪”变种b运行后，首先会将系统文件“explorer.exe”重新命名并保存到临时文件夹中，然后会在“explorer.exe”文件的尾部添加一个病毒代码节，以此进行感染，实现了开机后随桌面程序的启动而自动运行。“土匪”变种b运行时，会在被感染计算机系统的后台连接骇客指定的远程服务器站点“http://tufei503.5*.net/”、“http://tufei503.home4u.chin*.com/”，下载恶意程序，分别重新命名为“AdvKey.dll”和“serial.dll”并自动调用运行。另外，其还可能通过FTP的方式下载其它恶意程序至被感染系统。其中，所下载的恶意程序可能为网络游戏盗号木马、远程控制后门或其它恶意广告程序等，致使用户面临更多的威胁。“土匪”变种b还会遍历磁盘上的可执行文件并进行感染，以此达到了自我传播的目的，但同时可能会导致用户在重装系统后再次受到病毒的侵害。由于病毒对可执行文件进行了不正确的读写操作，还可能导致大量的应用程序因此被破坏而无法运行。

英文名称：Trojan/QQFishing.fx
　　中文名称：“QQ诈骗犯”变种fx
　　病毒长度：47168字节
　　病毒类型：木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：2d541788aca8f1a797f216545c588467
　　特征描述：
　　Trojan/QQFishing.fx“QQ诈骗犯”变种fx是“QQ诈骗犯”木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“QQ诈骗犯”变种fx是一个通过弹出仿冒“QQ”中奖消息窗口来诱骗用户上当，从而实施网络诈骗的木马程序。“QQ诈骗犯”变种fx运行后，会将恶意代码注入到“explorer.exe”进程中隐密运行。遍历当前系统中所有正在运行的进程，一旦发现指定的安全软件存在时，便会尝试将其结束。利用文件映像劫持功能，干扰安全软件的正常运行，从而使得系统失去安全软件的防护，增加了遭受病毒侵害的风险。“QQ诈骗犯”变种fx运行时，会在系统托盘区域模仿“QQ”广播的“喇叭”图标闪烁，用户点击后将弹出虚假的中奖提示窗口，进一步地将用户引导至钓鱼网站“http://www.qq.com.indl*.cn/”的指定页面并实施诈骗。同时，该网站可能还存在网页挂马等恶意行为，从而使得被感染计算机用户面临更多的威胁。“QQ诈骗犯”变种fx还会向骇客指定的站点“http://www.inds*.cn/”反馈用户的感染情况及计算机信息，并会通过在注册表启动项中添加键值“QQ10000”的方式来实现开机后的自动运行。