每日（9/9）病毒预警 QQ华夏盗号木马盗取QQ密码

"盗号者aq"(Win32.Troj.OnlineGame.aq.49152)这是一个会盗取客户计算机上的"QQ"、"QQGAME"和网络游戏"大话西游2"的木马程序,该木马是通过查找窗口的方式查找到杀毒软件的窗口后并向其发送关闭消息,以达到不被客户发现杀毒软件报毒的目的。

"126邮箱之盗"(Win32.PSWTroj.Small.cy.86259)这是一个盗取客户126邮箱的木马,该木马在盗取信息之余还会从指定的木马网址上下载木马程序保存在客户计算机上并运行。

一、"盗号者aq"(Win32.Troj.OnlineGame.aq.49152)   威胁级别：★

1.病毒会自删除。创建一线程,枚举客户计算机上的进程,获取 RavMon.exe 的进程ID,再通过查找瑞星窗口类取得的进程ID进行比较。

如果相等的话,病毒则向该窗口发送关闭消息。

2.通过卡巴斯基的自动防御,向警告窗口发送关闭消息。

3.病毒会盗取客户计算机上的 "QQ"、"QQGAME"和网络游戏"大话西游2"的帐号信息,并发送到指定的接收网址。

hxxp://www.mir7.cc/dahuaboss99/lin.asp?id=xx&p=xx&q=xx&lck=xx&srv=xx&js1=xx&id1=xx&dj1=xx&pc=xx

二、"126邮箱之盗"(Win32.PSWTroj.Small.cy.86259)   威胁级别：★

1.添加的文件:

%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.ins

%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.jup

%ProgramFiles%\Common Files\Microsoft Shared\MSInfo\System16.tmp

2.查找客户计算机上窗口类名为"ListBox",窗口名为"b187145"的窗口。

如查找到继续查找以下窗口类名和和窗口名:

ListBox - b187145

ListBox - bg87x8e

然后到指定的木马下载网址:

hxxp://www.1*1**.com/d**n/*s.exe

hxxp://www.1*1**.com/d**n/*h.exe

据瑞星全球反病毒监测网介绍，今日有一个病毒特别值得注意，它是：“QQ华夏盗号木马（Trojan.PSW.Win32.QQHX）”病毒。该病毒针对网络游戏《QQ华夏》编写，会试图窃取用户的游戏帐号、密码，并将这些信息发送到黑客指定的信箱，从而给该游戏的玩家带来损失。

本日热门病毒：

“QQ华夏盗号木马（Trojan.PSW.Win32.QQHX）”病毒：警惕程度★★★，木马病毒，通过恶意网页、其它木马下载传播，依赖系统：Windows 9x/NT/2000/XP/2003/Vista。

该病毒采用Delphi语言编写，UPack加壳。运行后会在系统目录下（默认为C:\Windows\system32）生成名为qhbpri.dll文件。该病毒会修改注册表启动项目，实现随系统启动自动运行。该病毒会自动监视用户的计算机，当发现用户打开“QQ华夏”游戏时自动注入游戏的进程当中，伺机窃取用户的帐号、密码，并将这些信息发送到黑客指定的信箱，从而给“QQ华夏”游戏的玩家带来损失。

江民9月8日病毒播报：“尼拉葛”最新变种秘密监视用户键盘操作 窃取用户私密信息

江民今日提醒您注意：在今天的病毒中Trojan/PSW.Nilage.bcb“尼拉葛”变种bcb和TrojanSpy.Delf.aji“TrojanSpy.Delf”变种aji值得关注。

病毒名称：Trojan/PSW.Nilage.bcb

中 文 名：“尼拉葛”变种bcb

病毒长度：53760字节

病毒类型：木马

危险级别：★★

影响平台：Win 9X/ME/NT/2000/XP/2003

Trojan/PSW.Nilage.bcb“尼拉葛”变种bcb是“尼拉葛”木马家族的最新成员之一，采用Delphi 6.0-7.0编写。“尼拉葛”变种bcb运行后，自我复制到被感染计算机的系统目录下并重新命名。修改注册表，实现木马开机自启动。在被感染计算机的后台创建键盘、鼠标钩子，秘密监视用户打开的窗口，当发现窗口标题为“Lineage Windows Client”(《天堂》登陆窗口)时便记录用户键盘操作，窃取玩家的帐户、密码等信息，并发送到骇客指定的邮箱里。

病毒名称：TrojanSpy.Delf.aji

中 文 名：“TrojanSpy.Delf”变种aji

病毒长度：16421字节

病毒类型：间谍类木马

危害等级：★

影响平台：Win 9X/ME/NT/2000/XP/2003

TrojanSpy.Delf.aji“TrojanSpy.Delf”变种aji是“TrojanSpy.Delf”木马家族的最新成员之一，采用Delphi 6.0-7.0编写。“TrojanSpy.Delf”变种aji运行后，修改注册表，实现木马开机自启动。在被感染计算机的后台监视玩家打开的窗口标题，窃取网络游戏《天龙八部》玩家游戏帐号、游戏密码等玩家信息，并将窃取到的玩家信息发送到骇客指定站点，给玩家带来损失。