江民7.4病毒播报：TrojanSpy.Delf和QQ大盗

核心提示：江民今日提醒您注意：在今天的病毒中TrojanSpy.Delf.efi“TrojanSpy.Delf”变种efi和Trojan/PSW.QQPass.wgk“QQ大盗”变种wgk值得关注，英文名称：TrojanSpy.Delf.efi中文名称：“TrojanSpy.Delf”变种efi病毒长度：150354字节病毒类型

江民今日提醒您注意：在今天的病毒中TrojanSpy.Delf.efi“TrojanSpy.Delf”变种efi和Trojan/PSW.QQPass.wgk“QQ大盗”变种wgk值得关注。

英文名称：TrojanSpy.Delf.efi
　　中文名称：“TrojanSpy.Delf”变种efi
　　病毒长度：150354字节
　　病毒类型：间谍木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：fdf105a9ef9d1d7ae91bf804c3b730b1
　　特征描述：
　　TrojanSpy.Delf.efi“TrojanSpy.Delf”变种efi是“TrojanSpy.Delf”间谍木马家族中的最新成员之一，采用“Microsoft Visual C++ 6.0”编写，是一个由其它恶意程序释放出来的DLL功能组件。“TrojanSpy.Delf”变种efi通常会被插入到某些进程中隐秘运行，并在后台执行恶意操作，隐藏自我，防止被轻易地查杀。“TrojanSpy.Delf”变种efi运行时，会不断尝试与控制端（地址加密存放）进行连接，一旦连接成功，则被感染的计算机便会沦为骇客的傀儡主机。
　　黑客可以向被感染计算机发送恶意指令，从而执行任意控制操作，其中包括文件管理（文件浏览、文件下载、文件删除、文件属性修改、创建目录、上传文件、远程执行文件、下载文件等）、屏幕监控、超级终端、进程控制、注册表管理、服务管理、窗口管理、音视频监控、右键操作等等，给被感染系统用户的个人隐私甚至是商业机密造成了不同程度的损失。黑客还可以向傀儡主机发送大量的恶意程序，以此造成更多不同程度的威胁。
　　同时，“TrojanSpy.Delf”变种efi还可以进行自我更新，从而更好地逃避杀软的查杀。另外，“TrojanSpy.Delf”变种efi会在被感染系统中注册随机名称的系统服务，以此实现其开机后的自动运行。

英文名称：Trojan/PSW.QQPass.wgk
　　中文名称：“QQ大盗”变种wgk
　　病毒长度：44476字节
　　病毒类型：盗号木马
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：025f98b52e365453314a9ba28e6b6832
　　特征描述：
　　Trojan/PSW.QQPass.wgk“QQ大盗”变种wgk是“QQ大盗”盗号木马家族中的最新成员之一，采用“Borland Delphi 6.0 - 7.0”编写，并且经过加壳保护处理。“QQ大盗”变种wgk是一个通过弹出仿冒“QQ”中奖消息窗口来诱骗用户上当，从而实施网络诈骗的木马程序。
　　“QQ大盗”变种wgk运行后，会将恶意代码注入到“explorer.exe”进程中隐密运行。遍历当前系统中所有正在运行的进程，一旦发现指定的安全软件存在时，便会尝试将其结束。利用注册表映像劫持功能，干扰安全软件的正常运行，从而使得系统失去安全软件的防护，增加了遭受病毒侵害的风险。“QQ大盗”变种wgk运行时，会在系统托盘区域模仿“QQ”广播的“喇叭”图标闪烁，用户点击后将弹出虚假的中奖提示窗口，从而进一步地将用户引导至钓鱼网站“http://www.qqtx10*8.cn/”的指定页面并实施诈骗。
　　同时，该网站可能还存在网页挂马等恶意行为，从而使得被感染计算机用户面临更多的威胁。另外，“QQ大盗”变种wgk会通过在系统注册表启动项中添加键值“a018”的方式实现开机自启。