江民10.24病毒播报：社交骗子和QQ大盗变种

核心提示：江民今日提醒您注意：在今天的病毒中TrojanDropper.Wolfst.a“社交骗子”变种a和Trojan/PSW.QQPass.xhg“QQ大盗”变种xhg值得关注，英文名称：TrojanDropper.Wolfst.a中文名称：“社交骗子”变种a病毒长度：107015字节病毒类型：木马释放器危险级别：★影响平台

江民今日提醒您注意：在今天的病毒中TrojanDropper.Wolfst.a“社交骗子”变种a和Trojan/PSW.QQPass.xhg“QQ大盗”变种xhg值得关注。

英文名称：TrojanDropper.Wolfst.a
　　中文名称：“社交骗子”变种a
　　病毒长度：107015字节
　　病毒类型：木马释放器
　　危险级别：★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　md5 校验：fc2e6a5b5c28eb45126bc0ee7e21304b
　　特征描述：
　　TrojanDropper.Wolfst.a“社交骗子”变种a是“社交骗子”木马释放器家族中的最新成员之一，采用“Borland Delphi 4.0 - 5.0”编写。“社交骗子”变种a运行后，会在被感染计算机系统的“%SystemRoot%\”文件夹下释放恶意程序“11111.EXE”和“PINCH.EXE”并调用运行。“11111.EXE”会修改hosts文件，利用域名劫持使得用户在访问社交网站“vkontakte.ru”时自动转到一个高度仿真的钓鱼网站，从而骗取用户输入的账号和密码。“PINCH.EXE”会在被感染计算机的后台遍历当前系统中所有窗口，一旦发现指定安全软件的窗口便会通过发送特定消息的方式将其关闭。如果无法将其关闭，自身将退出运行，从而达到了隐藏自我的目的。“社交骗子”变种a会通过读取注册表、读取软件默认安装位置等方式定位“ICQ”、“CuteFTP”、“Opera”、“BatMail”等多种邮件管理器、即时聊天软件、网页浏览器、FTP管理工具的安装位置，查找并读取这些软件的账户数据，并将这些数据发送到骇客指定的收信页面上，致使被感染系统用户的私密信息泄露，造成了不同程度的损失。

英文名称：Trojan/PSW.QQPass.xhg
　　中文名称：“QQ大盗”变种xhg
　　病毒长度：107008字节
　　病毒类型：盗号木马
　　危险级别：★★
　　影响平台：Win 9X/ME/NT/2000/XP/2003
　　MD5 校验：00093fd0187f95bdfb0d9ef81c4a8686
　　特征描述：
　　Trojan/PSW.QQPass.xhg“QQ大盗”变种xhg是“QQ大盗”盗号木马家族中的最新成员之一，采用高级语言编写，并且经过加壳保护处理。“QQ大盗”变种xhg运行后，会自我复制到被感染系统的“%SystemRoot%\Web\PRinters\images\”文件夹下，重新命名为“fgerq.exe”。同时还会在该文件夹下释放恶意DLL组件“fgerq.dll”，并将文件属性设置为“系统、隐藏、只读”。“QQ大盗”变种xhg是一个盗取“雅虎奇摩”会员账号及“热血江湖 Online”网络游戏账号的木马程序，运行后会首先确认自身是否已经插入到桌面进程“explorer.exe”中。安装消息钩子，监视当前系统的状态，伺机进行恶意操作。定位“yahoobuddymain”窗口并插入“ybclient.exe”进程，利用消息钩子、内存截取等技术盗取用户的账号、密码、身份证号、角色名等信息，并在后台将窃取到的这些机密信息发送到骇客指定的收信页面“http://www.dj9988d*.com/tw/upfile.asp”等上（地址加密存放），致使用户的账号丢失。另外，“QQ大盗”变种xhg会修改注册表“ShellExecuteHooks”键，以此实现盗号木马的开机自动运行。