5月7日,江民反病毒中心監測到,中國IT認證實驗室網站()首頁“IT培訓”欄目包含病毒連結,點選該連結後,惡意網頁程式碼會自動下載並執行 “QQ大盜”木馬病毒(Trojan/)。中國IT認證實驗室網站已成為繼前不久登封市新華書店網站後“QQ大盜”的又一個“基地”。
近來“QQ大盜”木馬病毒十分猖獗,從四月第二週起已連續四周位列病毒排行榜首位。僅“五一”期間,江民KV免費線上防毒()查獲該病毒次數就已達46726次。此前,該病毒還藏身登封市新華書店網站進行傳播,它利用IE瀏覽器的MHT檔案下載執行漏洞,讓使用者不知情中下載惡意CHM檔案,並執行內嵌其中的木馬程式“QQ大盜”。
據江民反病毒專家介紹,這次“QQ大盜”更為隱祕,使用者在訪問中國IT認證實驗室網站()首頁時並不會中毒,但二次頁面上卻悄悄包含病毒連結。專家介紹,一旦使用者點選了首頁上的“IT培訓”連結,就會在後臺以隱藏方式開啟另一個惡意網頁*(為了防止讀者誤點選連結中毒,連結中的“s”以*代替)。該惡意網頁利用IE瀏覽器的MHT檔案下載執行漏洞,在使用者不知情中下載惡意CHM檔案()並執行內嵌其中的木馬程式。木馬程式執行後,將在系統資料夾下生成文件,添加註冊表自啟動項,以使病毒自身隨Windows啟動時同時執行。
針對該網站帶有的QQ大盜病毒,專家提醒,安裝升級KV2005到2005年4月5日以後的病毒庫,開啟實時監控功能,即可全面查殺該網站上的惡意網頁程式碼和木馬程式。
