特征描述：

Trojan/Sasfis.lu"薩斯風(fēng)"變種lu是"薩斯風(fēng)"家族中的最新成員之一，采用"Borland Delphi 6.0 – 7.0"編寫，并且經(jīng)過多次加殼保護(hù)處理。"薩斯風(fēng)"變種lu會(huì)將自身圖標(biāo)偽裝成"Windows Media Player"樣式，誘騙用戶點(diǎn)擊運(yùn)行。其運(yùn)行后，會(huì)自我復(fù)制到被感染系統(tǒng)的"%SystemRoot%system32"文件夾下，重新命名為"svchosc"，文件屬性設(shè)置為"系統(tǒng)、隱藏、只讀"。創(chuàng)建新的"iexplore.exe"進(jìn)程，并將惡意代碼注入其中隱秘運(yùn)行。不斷嘗試與控制端（地址為：topy12345.33*.org:8181）進(jìn)行連接，如果連接成功，則被感染的計(jì)算機(jī)就會(huì)淪為傀儡主機(jī)。駭客可以向被感染的計(jì)算機(jī)發(fā)送惡意指令，從而執(zhí)行任意控制操作（控制操作包括但不限于：文件管理、進(jìn)程控制、注冊(cè)表操作、服務(wù)管理、遠(yuǎn)程命令執(zhí)行等，甚至屏幕監(jiān)控、鍵盤監(jiān)聽、鼠標(biāo)控制、音頻監(jiān)控、視頻監(jiān)控等），會(huì)給用戶的個(gè)人隱私造成不同程度的損失。同時(shí)，駭客還可以向傀儡主機(jī)上傳大量的惡意程序，從而對(duì)用戶的計(jì)算機(jī)安全構(gòu)成嚴(yán)重的威脅。"薩斯風(fēng)"變種lu可通過移動(dòng)存儲(chǔ)設(shè)備進(jìn)行自我傳播，當(dāng)其發(fā)現(xiàn)新的移動(dòng)存儲(chǔ)設(shè)備接入時(shí)，便會(huì)在其根文件夾下創(chuàng)建"autorun.inf"（自動(dòng)播放配置文件）和木馬主程序文件，以此實(shí)現(xiàn)雙擊盤符后激活木馬的目的。另外，"薩斯風(fēng)"變種lu會(huì)在被感染計(jì)算機(jī)中注冊(cè)名為"Windows_rever"的系統(tǒng)服務(wù)，從而實(shí)現(xiàn)了木馬的開機(jī)自啟。

英文名稱：Trojan/PSW.QQPass.xif
中文名稱："QQ大盜"變種xif
病毒長度：66141字節(jié)
病毒類型：盜號(hào)木馬
危險(xiǎn)級(jí)別：★
影響平臺(tái)：Win 9X/ME/NT/2000/XP/2003
MD5 校驗(yàn)：e7d8ded2f538f97a21059204f30624c3

特征描述：

Trojan/PSW.QQPass.xif"QQ大盜"變種xif是"QQ大盜"家族中的最新成員之一，采用"Borland Delphi 6.0 – 7.0"編寫，是一個(gè)由其它惡意程序釋放出來的DLL功能組件，經(jīng)過加殼保護(hù)處理。"QQ大盜"變種xif是一個(gè)專門盜取即時(shí)聊天工具"騰訊QQ"賬號(hào)和密碼的木馬程序，運(yùn)行后會(huì)首先查看自身是否已經(jīng)插入到"QQ.exe"、"explorer.exe"或"VerclsId.exe"等進(jìn)程之中，同時(shí)可能釋放舊版本的"TSSafeEdit.DAT"文件到QQ安裝目錄下。強(qiáng)行導(dǎo)致QQ掉線，從而迫使用戶重新返回登錄窗口。"QQ大盜"變種xif會(huì)針對(duì)"QQ"登陸窗口安裝大量的消息鉤子，并通過內(nèi)存截取等技術(shù)盜取用戶輸入的賬號(hào)和密碼等機(jī)密信息，并在后臺(tái)將竊得的信息（包括計(jì)算機(jī)名、當(dāng)前IP地址、計(jì)算機(jī)用戶名、QQ賬號(hào)、QQ密碼等）發(fā)送到駭客指定的頁面"http://59.34.*.75/cao/ko.asp"（地址加密存放）上，從而給用戶造成了一定程度的損失。另外，"QQ大盜"變種xif會(huì)修改注冊(cè)表鍵"ShellExecuteHooks"的鍵值，以此實(shí)現(xiàn)開機(jī)自動(dòng)運(yùn)行。

針對(duì)以上病毒，江民反病毒中心建議廣大電腦用戶：

1、請(qǐng)立即升級(jí)江民殺毒軟件，開啟新一代智能分級(jí)高速殺毒引擎及各項(xiàng)監(jiān)控，防止目前盛行的病毒、木馬、有害程序或代碼等攻擊用戶計(jì)算機(jī)。

2、江民KV網(wǎng)絡(luò)版的用戶請(qǐng)及時(shí)升級(jí)控制中心，并建議相關(guān)管理人員在適當(dāng)時(shí)候進(jìn)行全網(wǎng)查殺病毒，保證企業(yè)信息安全。

3、江民殺毒軟件增強(qiáng)虛擬機(jī)脫殼技術(shù)，能夠?qū)Ω鞣N主流殼以及疑難的"花指令殼"、"生僻殼"病毒進(jìn)行脫殼掃描，有效清除"殼病毒"。

4、開啟江民殺毒軟件的系統(tǒng)監(jiān)控功能，該功能可對(duì)病毒試圖下載惡意程序、強(qiáng)行篡改系統(tǒng)時(shí)間、注入進(jìn)程和調(diào)用其它惡意程序等行為進(jìn)行監(jiān)控并自動(dòng)干預(yù)、處理，有效地遏制
了未知病毒對(duì)系統(tǒng)所造成的干擾和破壞，更大程度的提高了計(jì)算機(jī)對(duì)于未知病毒的防范能力。

5、江民防馬墻，能夠第一時(shí)間發(fā)現(xiàn)和阻止帶有木馬病毒的惡意網(wǎng)頁，可以自動(dòng)搜集惡意網(wǎng)址并加入特征庫，阻止了網(wǎng)頁木馬的傳播，有效地保障了用戶的上網(wǎng)安全。

6、全面開啟BOOTSCAN功能，在系統(tǒng)啟動(dòng)前殺毒，清除具有自我保護(hù)和反攻殺毒軟件的惡性病毒。

7、江民殺毒軟件新增強(qiáng)大的啟發(fā)式掃描，能夠啟發(fā)掃描90％以上的未知病毒。

8、盡量不要以雙擊盤符的方式訪問硬盤或移動(dòng)存儲(chǔ)設(shè)備的分區(qū)，而是通過資源管理器中左側(cè)的"樹形目錄"或在地址欄中輸入盤符的方式進(jìn)行訪問，從而避免計(jì)算機(jī)病毒利用
系統(tǒng)自動(dòng)運(yùn)行特性進(jìn)行感染和傳播。

9、江民針對(duì)感染Delphi編譯環(huán)境和應(yīng)用程序的"Delphi侵蝕者"病毒推出了專殺工具，請(qǐng)廣大Delphi開發(fā)人員和網(wǎng)民立即下載并對(duì)系統(tǒng)進(jìn)行掃描，從而避免成為病毒傳播的源
頭以及被該病毒所感染。下載地址：http://filedown.jiangmin.com/download/JMInducKiller.exe

10、懷疑已中毒的用戶可使用江民免費(fèi)在線查毒進(jìn)行病毒查證。免費(fèi)在線查毒地址：http://online.jiangmin.com/

有關(guān)更詳盡的病毒技術(shù)資料請(qǐng)直接撥打江民公司的技術(shù)服務(wù)熱線800-810-2300和010-82511177進(jìn)行咨詢，或訪問江民網(wǎng)站http://www.jiangmin.com進(jìn)行在線查閱。

zhabin