主题：病毒报告（ZT）

发现日期：2004-5-25 10:32:32

简介：该病毒使用delphi编写，采用ASpack压缩，是一个通过监视QQ的消息来进行远程控制的木马。

一、病毒评估

1．病毒中文名： QQ叛徒 2．病毒英文名：Trojan.QQbot.a 3．病毒别名： 无 4．病毒大小：659456字节 5．病毒类型：木马 6．病毒危险等级：★★★★ 7．病毒传播途径：网络 8．病毒依赖系统：Windows 95 Windows 98 Windows ME Windows 2000 Windows XP

二、病毒技术细节：

该病毒使用delphi编写，采用ASpack压缩，是一个通过监视QQ的消息来进行远程控制的木马。一旦运行，病毒将执行下列操作：

1.病毒将修改注册表，添加"registry" = "%CURBASE%\%CURFILE"到键值： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run下，这样病毒就可以随系统自启动。

2.病毒通过监视QQ的接收消息来响应远程控制端的操作： 病毒可以执行的操作包括：上传、下载、执行文件，共享硬盘，关闭、重启计算机，抓屏并发送EMail，通过进程名或ID来终止进程的运行，关闭、卸载木马等。

3.病毒的远程控制端通过生成相应的QQ消息来控制其服务端，发送的消息跟病毒进行的操作对应如下： "去看看！wsdgs!!@@iXT 3;lGim OKdrk uLL&&ldUimlw$$"->此发送的消息为下载木马网址；（@@后面是随机字符） "我看看！wsdgs@@0/$s^t&&"->此消息为从染毒机器中下载文件； "你好啊！wsdgs@@1234567&&"->此消息为共享C盘； "去试试！wsdgs@@iXT 3;lGim OKdrk uLL&&"->此消息执行文件； "死机了？wsdgs"->关机； "掉线了？wsdgs"->重启； "在干嘛？wsdgs!!"->抓屏并Mail； "还在啊？wsdgs!!"->列举进程并Mail； "怎么了？wsdgs@@1234&&"->关闭进程； "冷雨打芭蕉"->关闭对方QQ； "江湖一剑飘"->关闭木马； "天涯任逍遥"->卸载木马；

三、解决方案： 1.进行升级 瑞星公司将于当天进行升级，升级后的软件版本号为16.28.10，该版本的瑞星杀毒软件可以彻底查杀此病毒，瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站（http://www.rising.com.cn/）下载升级包进行升级，或者使用瑞星杀毒软件的“智能升级”功能。

2.使用在线杀毒和下载版 用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒，这两款产品有多种支付途径，用户可以登陆网址：http://online.rising.com.cn/来使用在线杀毒产品，或者登陆网址： http://go.rising.com.cn/来使用下载版产品。

3.打电话求救 如果遇到关于该病毒的其它问题，用户可以随时拨打瑞星反病毒急救电话：010-82678800来寻求反病毒专家的帮助！

四、安全建议：

1.建立良好的安全习惯。例如：不要轻易打开一些来历不明的邮件及附件，不要上一些不太了解的网站，不要运行从互联网上下载的未经杀毒处理的软件等，这些必要的习惯会使您的计算机更加安全。

2.关闭或删除系统中不需要的服务。默认情况下，操作系统会安装一些辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便，而又对用户没有太大作用，如果删除它们，就能大大减少被攻击的可能性，增强电脑的安全。

3.经常升级安全补丁。据统计，大部分网络病毒都是通过系统安全漏洞进行传播的，象冲击波、大无极、SCO炸弹、网络天空等。漏洞的存在，会造成杀毒杀不干净的状况，所以应该定期到微软网站去下载最新的安全补丁，堵住系统的漏洞。

4.使用复杂的密码。有许多网络病毒是通过猜测简单密码的方式攻击系统的，因此使用复杂的密码，将会大大提高计算机的安全系数，减少被病毒攻击的概率。

5.迅速隔离受感染的计算机。当您的计算机发现病毒或异常时应立刻断网，以防止计算机受到更多的感染，或者成为传播源，再次感染其它计算机。

6.了解一些病毒知识。这样您就可以及时发现新病毒并采取相应措施，在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识，就可以定期看一看注册表的自启动项是否有可疑键值；如果能了解一些内存知识，就可以经常看看内存中是否有可疑程序。

7.最好是安装专业的防毒软件进行全面监控。在病毒日益增多的今天，使用杀毒软件进行防毒，是越来越经济的选择，不过用户在安装了反病毒软件之后，应该经常进行升级、将一些主要监控打开（如邮件监控）、遇到问题要及时上报，这样才能真正保障计算机的安全。