『QQ大盜』木馬病毒藏身IT專業網站瘋狂傳播

　　『中國IT認證實驗室』網站竟成為病毒『實驗室』。一專盜用戶QQ帳號、密碼的『QQ大盜』病毒正藏身網站『IT培訓』頁，只等網友點擊該頁面便悄悄潛伏，伺機作案。

　　5月7日，江民反病毒中心監測到，中國IT認證實驗室網站(http://www.chinaitlab.com)首頁『IT培訓』欄目包含病毒鏈接，點擊該鏈接後，惡意網頁代碼會自動下載並運行『QQ大盜』木馬病毒(Trojan/PSW.QQpass.br)。中國IT認證實驗室網站已成為繼前不久登封市新華書店網站後『QQ大盜』的又一個『基地』。

　　記者從江民反病毒中心了解到，近來『QQ大盜』木馬病毒十分猖獗，從四月第二周起已連續四周位列病毒排行榜首位。僅『五一』期間，江民KV免費在線殺毒(http://online.jiangmin.com)查獲該病毒次數就已達46726次。此前，該病毒還藏身登封市新華書店網站進行傳播，它利用IE瀏覽器的MHT文件下載執行漏洞，讓用戶不知情中下載惡意CHM文件，並運行內嵌其中的木馬程序『QQ大盜』。

　　據江民反病毒專家介紹，這次『QQ大盜』更為隱秘，用戶在訪問中國IT認證實驗室網站(http://www.chinaitlab.com)首頁時並不會中毒，但二次頁面上卻悄悄包含病毒鏈接。

　　專家介紹，一旦用戶點擊了首頁上的『IT培訓』鏈接，就會在後臺以隱藏方式打開另一個惡意網頁http://jobs.chinaitlab.com/train/teach2/ray.j*(為了防止讀者誤點擊鏈接中毒，鏈接中的『s』以*代替)。該惡意網頁利用IE瀏覽器的MHT文件下載執行漏洞，在用戶不知情中下載惡意CHM文件(TrojanDropper.Mht.Psyme.mv)並運行內嵌其中的木馬程序。木馬程序運行後，將在系統文件夾下生成NTdhcp.exe文件，添加注冊表自啟動項，以使病毒自身隨Windows啟動時同時運行。

　　針對該網站帶有的QQ大盜病毒，專家提醒，安裝昇級KV2005到2005年4月5日以後的病毒庫，打開實時監控功能，即可全面查殺該網站上的惡意網頁代碼和木馬程序。