“安全破坏下载者”劫持杀软下载病毒

　　“QQ盗号木马49172”（Win32.PSWTroj.QQpass.px.49172），该病毒是一个QQ盗号木马。它运行后会删除QQ医生的执行文件，然后注入QQ内存，读取用户的QQ号和密码。该病毒在偷QQ号的同时，还会记录用户的IP地址。

　　“安全破坏下载者90112”（Win32.Toj.MacDog.aa.90112），这是一个木马下载者。该病毒运行后，会在当前系统的启动文件夹中释放病毒，建立系统服务，劫持常见的安全软件，然后从网上下载病毒到用户系统中运行。

　　一、“QQ盗号木马49172”（Win32.PSWTroj.QQpass.px.49172） 威胁级别：★

　　病毒进入用户电脑后，在系统盘的%WINDOWS%system32目录下释放出病毒文件SysYH.VXD，并修改系统注册表，将该文件的相关信息写入其中，实现自动启动。

　　病毒如能成功运行起来，它首先会查找并删除QQ医生的执行文件QQDoctor.exe，便于自己下一步的盗号工作。当解决掉QQ医生，病毒就会搜索并注入QQ即时聊天工具的进程，通过读取内存的方式截获用户的QQ号、密码、QQ等级、Q币等相关资料。

　　同时，病毒会悄悄连接IP查询网站www.i**p.c**，查询被盗用户的IP地址，然后把IP地址与把偷得的其它资料一起发送到木马种植者的邮箱。如果木马种植者拿到QQ号，可能会将里面的Q币洗走，然后卖掉吉利的号码，也有可能会利用这些QQ号去进行诈骗，给用户及其好友带来更大的损失和麻烦。

　　此外，该病毒具有自我删除功能，当它运行结束后，就会在同目录下生成一个_xr.bat文件，实现自删除，使得用户不易发现。

　　二、“安全破坏下载者90112”（Win32.Toj.MacDog.aa.90112） 威胁级别：★★

　　病毒进入系统后，会将病毒文件_uninsep.bat和1.exe释放到系统盘的根目录下，同时在系统盘的“%Documents and Settings%All Users「开始」菜单程序启动”文件夹下生成病毒主文件的副本AtiSrv.exe。它还修改系统注册表，创建名为“Sc Manager”的系统服务，实现开机自启动。

　　接着，病毒迅速查找用户电脑中是否安装得有安全软件，并对它们进行映像劫持。在病毒的劫持列表中有金山毒霸、卡巴斯基、360安全卫士、QQ医生、瑞星、诺顿等大部分常见安全软件，一旦被劫持，这些安全软件就无法运行了。

　　最后，病毒在用户无法察觉的情况下建立远程连接，从木马种植者指定的网址http://iii.u*6*u.com和http://tttt.5**jx.com下载病毒列表，然后根据下载列表中的地址去下载更多的病毒文件到用户系统中运行，给用户的系统安全造成无法估计的威胁。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。