【赛迪【dí】网讯】“中国【guó】IT认证实验室”网站竟成为病毒【dú】“实验【yàn】室”。一专盗用户QQ帐号、密码的“QQ大盗”病毒【dú】正藏身网站【zhàn】“IT培训”页,只等网【wǎng】友点击该页面便悄悄潜伏,伺机作案。
8-19,江民反病【bìng】毒中心监测到,中国IT认证实验【yàn】室网站(http://www.chinaitlab.com)首页“IT培训”栏目包含病毒链接,点击【jī】该链接后,恶意网页代码会自动下载【zǎi】并运行 “QQ大盗”木马病毒(Trojan/PSW.QQpass.br)。中国IT认证实验室【shì】网站已成为继前不久登封市新华书店网站后“QQ大盗【dào】”的【de】又一个“基地”。
近【jìn】来“QQ大盗”木马病毒十分猖獗,从四月第二周起已连续四周位列病毒排【pái】行【háng】榜首位。仅“五一”期间,江民KV免费在线
杀毒(http://online.jiangmin.com)查获该病毒次数就【jiù】已达46726次。此前,该病毒还藏身登封市新华书店网站进行传【chuán】播,它利用IE浏览器的MHT文件下载执行漏洞【dòng】,让用【yòng】户【hù】不知情中【zhōng】下载恶意CHM文【wén】件,并运行内嵌其中的木马程序“QQ大盗”。
据江民反病毒专家介【jiè】绍,这次“QQ大盗”更为隐秘,用户在访问中国IT认证实【shí】验室网站(http://www.chinaitlab.com)首【shǒu】页时并不会中毒,但【dàn】二次页面上却悄悄包【bāo】含病毒链接。专家介绍,一旦用户点击了首页上的“IT培训”链接,就会在后台以隐藏【cáng】方式打开另一个恶意网页http://jobs.chinaitlab.com/train/teach2/ray.j*(为【wéi】了【le】防止【zhǐ】读【dú】者【zhě】误点击链接中毒,链接中的“s”以*代替)。该恶意网页利用IE
浏览器的【de】MHT文件下载执行漏洞,在用户不知情中下载恶意CHM文件(TrojanDropper.Mht.Psyme.mv)并运行内嵌其中的木马【mǎ】程序。木马程序运行后,将在系统文件夹下生成NTdhcp.exe文件,添加注册【cè】表自启动项,以使【shǐ】病毒自身随Windows启动时同时【shí】运行【háng】。
针对该网站带有的QQ大盗病毒,专家提醒,安装
升级KV2005到8-19以后的病毒库,打开实时【shí】监控功能,即可全面【miàn】查杀该【gāi】网站上【shàng】的恶意网页代码和木马程序。