【賽迪網(wǎng)訊】“中國IT認證實驗室”網(wǎng)站竟成為病毒“實驗室”。一專盜用戶QQ帳號、密碼的“QQ大盜”病毒正藏身網(wǎng)站“IT培訓”頁,只等網(wǎng)友點擊該頁面便悄悄潛伏,伺機作案。
5月7日,江民反病毒中心監(jiān)測到,中國IT認證實驗室網(wǎng)站(http://www.chinaitlab.com)首頁“IT培訓”欄目包含病毒鏈接,點擊該鏈接后,惡意網(wǎng)頁代碼會自動下載并運行 “QQ大盜”木馬病毒(Trojan/PSW.QQpass.br)。中國IT認證實驗室網(wǎng)站已成為繼前不久登封市新華書店網(wǎng)站后“QQ大盜”的又一個“基地”。
近來“QQ大盜”木馬病毒十分猖獗,從四月第二周起已連續(xù)四周位列病毒排行榜首位。僅“五一”期間,江民KV免費在線
殺毒(http://online.jiangmin.com)查獲該病毒次數(shù)就已達46726次。此前,該病毒還藏身登封市新華書店網(wǎng)站進行傳播,它利用IE瀏覽器的MHT文件下載執(zhí)行漏洞,讓用戶不知情中下載惡意CHM文件,并運行內(nèi)嵌其中的木馬程序“QQ大盜”。
據(jù)江民反病毒專家介紹,這次“QQ大盜”更為隱秘,用戶在訪問中國IT認證實驗室網(wǎng)站(http://www.chinaitlab.com)首頁時并不會中毒,但二次頁面上卻悄悄包含病毒鏈接。專家介紹,一旦用戶點擊了首頁上的“IT培訓”鏈接,就會在后臺以隱藏方式打開另一個惡意網(wǎng)頁http://jobs.chinaitlab.com/train/teach2/ray.j*(為了防止讀者誤點擊鏈接中毒,鏈接中的“s”以*代替)。該惡意網(wǎng)頁利用IE
瀏覽器的MHT文件下載執(zhí)行漏洞,在用戶不知情中下載惡意CHM文件(TrojanDropper.Mht.Psyme.mv)并運行內(nèi)嵌其中的木馬程序。木馬程序運行后,將在系統(tǒng)文件夾下生成NTdhcp.exe文件,添加注冊表自啟動項,以使病毒自身隨Windows啟動時同時運行。
針對該網(wǎng)站帶有的QQ大盜病毒,專家提醒,安裝
升級KV2005到2005年4月5日以后的病毒庫,打開實時監(jiān)控功能,即可全面查殺該網(wǎng)站上的惡意網(wǎng)頁代碼和木馬程序。