中国it认证实验室”网站竟成为病毒“实验室”。“一专盗用户qq帐号、密码的“qq大盗”病毒正藏身网站“it培训”页,只等网友点击该页面便悄悄潜伏,伺机作案。
5月7日,江民反病毒中心监测到,中国it认证实验室网站()首页“it培训”栏目包含病毒链接,点击该链接后,恶意网页代码会自动下载并运行“qq大盗”木马病毒(trojan/psw.qqpass.br)。中国it认证实验室网站已成为继前不久登封市新华书店网站后“qq大盗”的又一个“基地”。
记者从江民反病毒中心了解到,近来“qq大盗”木马病毒十分猖獗,从四月第二周起已连续四周位列病毒排行榜首位。仅“五一”期间,江民kv免费在线杀毒()查获该病毒次数就已达46726次。此前,该病毒还藏身登封市新华书店网站进行传播,它利用ie浏览器的mht文件下载执行漏洞,让用户不知情中下载恶意chm文件,并运行内嵌其中的木马程序“qq大盗”。
据江民反病毒专家介绍,这次“qq大盗”更为隐秘,用户在访问中国it认证实验室网站()首页时并不会中毒,但二次页面上却悄悄包含病毒链接。一旦用户点击了首页上的“it培训”链接,就会在后台以隐藏方式打开另一个恶意网页/train/teach2/ray.js(此网页包含恶意代码exploit.mhtredir.hov)。该恶意网页利用ie浏览器的mht文件下载执行漏洞,在用户不知情中下载恶意chm文件(trojandropper.mht.psyme.mv)并运行内嵌其中的木马程序。木马程序运行后,将在系统文件夹下生成ntdhcp.exe文件,添加注册表自启动项,以使病毒自身随windows启动时同时运行。
针对该网站带有的qq大盗病毒,专家提醒,安装升级kv2005到2005年4月5日以后的病毒库,打开实时监控功能,即可全面查杀该网站上的恶意网页代码和木马程序。